斯巴鲁WRX STI存软件漏洞 用户信息或泄露

盖世汽车讯 据外媒报道，一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件，他发现该软件存在软件漏洞和安全隐患，易受黑客攻击。

用户发现软件漏洞

据独立研究员艾伦·古兹曼(Aaron Guzman)表示，他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software vulnerabilities)，这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the horn)、获取车辆的行车位置记录等操作，还能在侵入车载Starlink账户后窃取用户的账户信息。

据Data Breach Today报道，古兹曼在Starlink令牌中发现了“永久令牌问题(perma-token problems)”。斯巴鲁的Starlink采用随机生成的令牌，允许经过认证的用户对其进行访问。理论上讲，该认证将很快过期，以防止该令牌被重复使用。然而，软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送，可在明码电文(clear-text)数据库中找到该令牌，即使已清除密码已，该令牌永不过期。

其结果就是，若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型，或许他能够截取令牌并访问车主们的邮件，然后从斯巴鲁车载系统内获得用户的关键信息。这样，他们就能和车主一样，访问斯巴鲁车型的软件系统。

斯巴鲁的应对

最初，古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞，他表平行进口车报价和汽车团购示曾将该问题上报给了斯巴鲁，据称对方已修复了该漏洞。然而，同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示：“斯巴鲁务必再次合并代码，重新修复漏洞。”

今年，古兹曼将该漏洞重新上报给斯巴鲁，据称已得到了斯巴鲁的积极回应。然而，古兹曼表示，大多数的软件漏洞已通过软件补丁修复，他将持续关注斯巴鲁发布的官方升级程序。

斯巴鲁表示，古兹曼利用他发现的软件漏洞，成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低，尽管公司并未设置“漏洞奖励计划(bug bounty progRam)”，但斯巴鲁将给予古兹曼奖励，鼓励他继续寻找该车型的软件漏洞。

免责声明： 1.上述信息内容由经销商自行发布，其真实性、准确性及合法性由经销商负责，过低的价格可能存在附加条件，请您提高警惕，汽车口碑网不承担任何保证，亦不承担任何法律责任。 温馨提示： 2.买家在购买汽车前应与商家确认所购买汽车是否为平行进口车。如确认购买平行进口车，买家可参考以下注意事： a)车辆具体配置情况 b)货物进口证明书(关单) c)随车检验单(商检) d)车辆一致性证书 e)车辆购置发票 f)落户当地的政策(如不符合政策，则无法上牌) g)是否符合中国标准 h)车种是否合法合规 i)车辆保险 注：以上提示仅供参考，汽车口碑网不承担任何保证，亦不承担任何法律责任。