據(jù)外媒報道，一位車主利用黑客技術(shù)侵入了斯巴魯WRX STI的車載軟件，他發(fā)現(xiàn)該軟件存在軟件漏洞和安全隱患，易受黑客攻擊。

用戶發(fā)現(xiàn)軟件漏洞

據(jù)獨立研究員艾倫·古茲曼（Aaron Guzman）表示，他在自己的愛車2017款斯巴魯WRX STI中發(fā)現(xiàn)了8個軟件漏洞（software vulnerabilities），這類漏洞或?qū)⒃试S未經(jīng)授權(quán)的用戶執(zhí)行鎖車門、按喇叭（honk the horn）、獲取車輛的行車位置記錄等操作，還能在侵入車載Starlink賬戶后竊取用戶的賬戶信息。

據(jù)Data Breach Today報道，古茲曼在Starlink令牌中發(fā)現(xiàn)了“永久令牌問題（perma-token problems）”。斯巴魯?shù)腟tarlink采用隨機生成的令牌，允許經(jīng)過認證的用戶對其進行訪問。理論上講，該認證將很快過期，以防止該令牌被重復(fù)使用。然而，軟件漏洞卻允許斯巴魯用戶處于永久登陸狀態(tài)。該令牌采用URL方式發(fā)送，可在明碼電文（clear-text）數(shù)據(jù)庫中找到該令牌，即使已清除密碼已，該令牌永不過期。

其結(jié)果就是，若黑客知道受害人擁有一臺2017款斯巴魯或配置了Starlink技術(shù)的新款車型，或許他能夠截取令牌并訪問車主們的郵件，然后從斯巴魯車載系統(tǒng)內(nèi)獲得用戶的關(guān)鍵信息。這樣，他們就能和車主一樣，訪問斯巴魯車型的軟件系統(tǒng)。

斯巴魯?shù)膽?yīng)對

最初，古茲曼發(fā)現(xiàn)2016款斯巴魯WRX STI車型存在該軟件漏洞，他表示曾將該問題上報給了斯巴魯，據(jù)稱對方已修復(fù)了該漏洞。然而，同樣的軟件漏洞卻再次出現(xiàn)在了2017款WRX STI車型上。他表示：“斯巴魯務(wù)必再次合并代碼，重新修復(fù)漏洞?！?/span>

今年，古茲曼將該漏洞重新上報給斯巴魯，據(jù)稱已得到了斯巴魯?shù)姆e極回應(yīng)。然而，古茲曼表示，大多數(shù)的軟件漏洞已通過軟件補丁修復(fù)，他將持續(xù)關(guān)注斯巴魯發(fā)布的官方升級程序。

斯巴魯表示，古茲曼利用他發(fā)現(xiàn)的軟件漏洞，成功訪問了2017款斯巴魯WRX STI的賬戶數(shù)據(jù)。而斯巴魯始終致力于將用戶的風(fēng)險降至最低，盡管公司并未設(shè)置“漏洞獎勵計劃（bug bounty program）”，但斯巴魯將給予古茲曼獎勵，鼓勵他繼續(xù)尋找該車型的軟件漏洞。