据Cyber Security News消息,斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞,美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。
该安全漏洞允许攻击者使用最少的信息(如姓氏和邮政编码、电子邮件地址、电话号码或车牌)远程访问敏感的车辆和个人数据,包括:
远程启动、停止、锁定和解锁车辆。
访问实时车辆位置并检索过去一年的详细位置历史记录。
提取客户的个人身份信息 (PII),包括地址、账单详细信息(部分信用卡信息)、紧急联系人和车辆 PIN。
查询其他用户数据,例如支持呼叫历史记录、里程表读数、销售记录等。
研究人员通过仅使用车牌号成功接管车辆证明了这种漏洞的危害性。他们还从一辆测试车辆中检索了一年多的精确位置数据,这些数据包括每次发动机启动时更新的数千个 GPS 坐标。
漏洞发现过程研究人员最初检查了斯巴鲁的 MySubaru 移动应用程序,发现其十分安全,便将重点转移到面向员工的系统上,他们通过子域扫描发现了 STARLINK 服务的管理门户。 起初,该网站似乎没有太多内容,只有一个登录面板,并且没有任何可用的凭据。
然而,在研究网站的源代码时,发现 /assets/_js/ 文件夹中有一些 JavaScript 文件。 为了深入挖掘,研究人员对该目录进行了暴力破解。在一个名为 login.js 的文件中,发现有段代码可以在无需任何令牌的条件下重置员工账户。因此,攻击者可以使用任何有效的员工电子邮件进行账户接管。
为了验证这一点,研究人员发送了一个 POST 请求,以检查该功能是否已暴露并处于运行状态。 该门户网站包含一个密码重置端点,允许在不需要确认令牌的情况下接管账户。 利用 LinkedIn 和其他来源的公开信息,他们确定了有效的员工电子邮件地址,从而利用了这一漏洞。
进入管理系统后,研究人员通过禁用客户端安全覆盖,绕过了双因素身份验证(2FA),进而可以不受限制地访问 STARLINK 的后台功能,包括查看和导出任何已连接斯巴鲁车辆的详细位置历史记录、使用邮政编码或车辆识别码等基本标识符搜索车主帐户、在不通知车主的情况下为车辆添加未经授权的用户。
为了进一步验证其发现,研究人员在朋友的汽车上测试了他们获得的访问权限,最终成功地远程解锁了车辆且没有触发任何警报或通知。
研究人员于 2024 年 11 月 20 日向斯巴鲁报告了该漏洞,并在次日就得到了修复。据研究人员称,没有证据表明该漏洞在修补之前被恶意利用。
这一事件凸显了人们对联网汽车网络安全的广泛担忧,这些车辆收集了大量数据,并依赖于难以全面保障安全的互联系统。 研究人员指出,作为日常工作的一部分,员工通常可以广泛访问敏感信息,这使得此类系统本身就很脆弱。
