客服QQ:872490018 服务时间:9:00-21:00

当前位置:首页 > 安全 > 业界 > 正文

斯巴鲁WRX STI存软件漏洞 用户信息或泄露
作者:
2017年06月14日 10:29:30
6869 次阅读
来源: 爱尖刀

核心提示:

据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。

盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。
黑科技,前瞻技术,热点车型,斯巴鲁WRX STI软件漏洞,斯巴鲁WRX STI令牌漏洞,斯巴鲁软件遭入侵

用户发现软件漏洞

据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。

据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。

其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。

斯巴鲁的应对

最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。”

今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。

斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty program)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。


[广告]赞助链接:

舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/

  • 网络尖刀
    公众号:mcbang_com
    数据、技术、运营
  • 知安
    公众号:knowsafe
    黑客、技术、安全
  • 查舆情
    公众号:chayuqing_com
    舆情、文娱、品牌

Copyright © 2013 IjianDao.Com,All Rights Reserved

网络尖刀 版权所有 京ICP备14006288号-3