據(jù)外媒報(bào)道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。

用戶發(fā)現(xiàn)軟件漏洞

據(jù)獨(dú)立研究員艾倫·古茲曼（Aaron Guzman）表示，他在自己的愛(ài)車2017款斯巴魯WRX STI中發(fā)現(xiàn)了8個(gè)軟件漏洞（software vulnerabilities），這類漏洞或?qū)⒃试S未經(jīng)授權(quán)的用戶執(zhí)行鎖車門(mén)、按喇叭（honk the horn）、獲取車輛的行車位置記錄等操作，還能在侵入車載Starlink賬戶后竊取用戶的賬戶信息。

據(jù)Data Breach Today報(bào)道，古茲曼在Starlink令牌中發(fā)現(xiàn)了“永久令牌問(wèn)題（perma-token problems）”。斯巴魯?shù)腟tarlink采用隨機(jī)生成的令牌，允許經(jīng)過(guò)認(rèn)證的用戶對(duì)其進(jìn)行訪問(wèn)。理論上講，該認(rèn)證將很快過(guò)期，以防止該令牌被重復(fù)使用。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫(kù)中找到該令牌，即使已清除密碼已，該令牌永不過(guò)期。

其結(jié)果就是，若黑客知道受害人擁有一臺(tái)2017款斯巴魯或配置了Starlink技術(shù)的新款車型，或許他能夠截取令牌并訪問(wèn)車主們的郵件，然后從斯巴魯車載系統(tǒng)內(nèi)獲得用戶的關(guān)鍵信息。這樣，他們就能和車主一樣，訪問(wèn)斯巴魯車型的軟件系統(tǒng)。

斯巴魯?shù)膽?yīng)對(duì)

最初，古茲曼發(fā)現(xiàn)2016款斯巴魯WRX STI車型存在該軟件漏洞，他表示曾將該問(wèn)題上報(bào)給了斯巴魯，據(jù)稱對(duì)方已修復(fù)了該漏洞。然而，同樣的軟件漏洞卻再次出現(xiàn)在了2017款WRX STI車型上。他表示：“斯巴魯務(wù)必再次合并代碼，重新修復(fù)漏洞?！?/span>

今年，古茲曼將該漏洞重新上報(bào)給斯巴魯，據(jù)稱已得到了斯巴魯?shù)姆e極回應(yīng)。然而，古茲曼表示，大多數(shù)的軟件漏洞已通過(guò)軟件補(bǔ)丁修復(fù)，他將持續(xù)關(guān)注斯巴魯發(fā)布的官方升級(jí)程序。

斯巴魯表示，古茲曼利用他發(fā)現(xiàn)的軟件漏洞，成功訪問(wèn)了2017款斯巴魯WRX STI的賬戶數(shù)據(jù)。而斯巴魯始終致力于將用戶的風(fēng)險(xiǎn)降至最低，盡管公司并未設(shè)置“漏洞獎(jiǎng)勵(lì)計(jì)劃（bug bounty program）”，但斯巴魯將給予古茲曼獎(jiǎng)勵(lì)，鼓勵(lì)他繼續(xù)尋找該車型的軟件漏洞。