Subaru車聯網系統現嚴重漏洞 黑客可追蹤解鎖及啟動數百萬輛汽車

汽車已經進入聯網時代，許多車企都擁有自己的車聯網系統。然而，在安全方面，仍然存在潛在風險，有機會導致嚴重的安全漏洞。近日，一名美國資訊安全研究人員發現，Subaru的車聯網系統「STARLINK」存在重大漏洞。這一漏洞可能使駭客能夠輕易追蹤、解鎖、甚至啟動數百萬輛汽車，並查閱車主的個人資料。

根據外媒報導，美國資訊安全研究員Sam Curry最近披露，他和同事早前發現了Subaru系統的嚴重漏洞。他們起初從MySubaru手機應用程式入手，但未發現可疑之處。隨後，他們將注意力轉移到汽車公司內部使用的管理系統上。他的同事Shubs發現了一個可疑的子網域，從而找到了Subaru員工使用的STARLINK管理入口。該入口本應受到嚴密保護，但因不安全的密碼重置功能而被攻破。

該團隊利用JavaScript檔案中的漏洞，發現可以重置員工帳戶密碼，並通過API端點嘗試不同員工電子郵件地址，找到了有效帳戶。他們重置密碼後發現雙重驗證機制可以在客戶端運作，從而輕易繞過防線進入系統。

在系統中，他們能夠輕易存取大量敏感資訊，包括：車輛即時位置、過去一年的完整行駛軌跡、用戶個人身份資訊（如緊急聯絡人、授權使用者、實際地址）、帳單資訊（例如信用卡後四碼）、車輛PIN碼等。另外，他們還查閱到通話記錄、里程和銷售紀錄等信息。此次漏洞影響範圍涵蓋美國、加拿大和日本。

Curry表示，在發現漏洞後即刻向Subaru報告，而Subaru也在24小時內完成修復。