天津北京石家庄唐山迁安霸州承德衡水廊坊邢台沧州秦皇岛保定邯郸张家口定州遵化济南青岛潍坊德州威海临沂莱芜淄博菏泽泰安东营济宁烟台聊城滨州日照枣庄太原大同长治晋中吕梁朔州阳泉晋城运城临汾忻州呼市鄂尔多斯兴安阿拉善巴彦淖尔包头乌海赤峰呼伦贝尔乌兰察布乌兰浩特锡林浩特海拉尔通辽
上海杭州绍兴宁波温州湖州丽水平阳桐乡义乌舟山嘉兴金华衢州台州合肥芜湖池州滁州黄山马鞍山铜陵宣城安庆六安亳州阜阳宿州巢湖淮南淮北蚌埠南京苏州无锡昆山扬州江阴靖江如皋常熟张家港太仓常州徐州盐城淮安宿迁连云港泰州镇江南通
海口三亚南宁桂林柳州北海河池玉林钦州贵港防城港梧州贺州百色来宾崇左广州深圳东莞佛山惠州珠海中山汕头湛江茂名肇庆潮州江门韶关揭阳清远河源梅州云浮汕尾阳江南昌九江景德镇赣州宜春上饶鹰潭抚州萍乡吉安新余丰城高安泉州福州厦门龙岩三明莆田宁德南平漳州
郑州洛阳开封漯河驻马店周口新郑许昌鹤壁信阳新乡商丘焦作安阳三门峡濮阳平顶山南阳济源武汉恩施鄂州黄冈荆门荆州随州咸宁孝感枣阳潜江襄阳宜昌黄石十堰长沙常德岳阳湘西张家界益阳永州湘潭株洲郴州娄底衡阳怀化邵阳
2017-06-13 11:41:57 来源:盖世汽车 阅读数: 我要评论(0)
盖世汽车讯 据外媒报道,一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件,他发现该软件存在软件漏洞和安全隐患,易受黑客攻击。
用户发现软件漏洞
据独立研究员艾伦·古兹曼(Aaron Guzman)表示,他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities),这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作,还能在侵入车载Starlink账户后窃取用户的账户信息。
据Data Breach Today报道,古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌,允许经过认证的用户对其进行访问。理论上讲,该认证将很快过期,以防止该令牌被重复使用。然而,软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送,可在明码电文(clear-text)数据库中找到该令牌,即使已清除密码已,该令牌永不过期。
其结果就是,若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型,或许他能够截取令牌并访问车主们的邮件,然后从斯巴鲁车载系统内获得用户的关键信息。这样,他们就能和车主一样,访问斯巴鲁车型的软件系统。
斯巴鲁的应对
最初,古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞,他表平行进口车报价和汽车团购示曾将该问题上报给了斯巴鲁,据称对方已修复了该漏洞。然而,同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示:“斯巴鲁务必再次合并代码,重新修复漏洞。”
今年,古兹曼将该漏洞重新上报给斯巴鲁,据称已得到了斯巴鲁的积极回应。然而,古兹曼表示,大多数的软件漏洞已通过软件补丁修复,他将持续关注斯巴鲁发布的官方升级程序。
斯巴鲁表示,古兹曼利用他发现的软件漏洞,成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低,尽管公司并未设置“漏洞奖励计划(bug bounty progRam)”,但斯巴鲁将给予古兹曼奖励,鼓励他继续寻找该车型的软件漏洞。
免责声明: 1.上述信息内容由经销商自行发布,其真实性、准确性及合法性由经销商负责,过低的价格可能存在附加条件,请您提高警惕,汽车口碑网不承担任何保证,亦不承担任何法律责任。 温馨提示: 2.买家在购买汽车前应与商家确认所购买汽车是否为平行进口车。如确认购买平行进口车,买家可参考以下注意事: a)车辆具体配置情况 b)货物进口证明书(关单) c)随车检验单(商检) d)车辆一致性证书 e)车辆购置发票 f)落户当地的政策(如不符合政策,则无法上牌) g)是否符合中国标准 h)车种是否合法合规 i)车辆保险 注:以上提示仅供参考,汽车口碑网不承担任何保证,亦不承担任何法律责任。