斯巴鲁被曝存在安全漏洞：通过员工网站可控制车辆，官方火速修复

IT之家 1 月 26 日报道，斯巴鲁近期爆出一桩严重的安全隐患，虽然已进行修复，但揭示了汽车行业隐私保护方面的紧迫问题。

据Engadget披露，安全专家Sam Curry和Shubham Shah发现，斯巴鲁的员工网络门户存在重大安全缺陷，黑客可能会远程控制车辆并查阅位置数据。专家警告称，斯巴鲁并非唯一存在汽车数据安全问题的企业，其他厂商也可能面对同类隐患。

一旦漏洞被发现，斯巴鲁立即进行了修复。值得庆幸的是，专家称，在修复漏洞之前没有黑客利用此问题。尽管如此，他们指出，即使修复漏洞，斯巴鲁授权员工仍可通过简单信息（例如车主姓氏、邮政编码、电子邮箱、电话号码或车牌号）访问车主位置信息。

此漏洞存在于斯巴鲁名为“Starlink”的服务中。专家通过在领英发现斯巴鲁员工邮件地址，绕过两道安全问题并重置密码，以及绕过双重身份验证。虽然他们追踪了测试车辆一年的位置数据，但无法确认员工是否可查阅更早数据。

此外，管理员门户允许专家远程控制车辆，包括启动、停止、锁定和解锁。然而，Curry的母亲未收到任何解锁通知。研究人员还能够查看车主的敏感数据，如紧急联系人、信用卡信息和车辆 PIN 码。

斯巴鲁发言人称，该漏洞已得到修复，并强调未发生未经授权数据访问。该公司指出，只有少数授权员工才可获取车主位置信息。专家表示，类似漏洞在多个汽车品牌中普遍存在，揭示了汽车行业在数据安全和隐私保护方面的严重问题。

广告声明：文中包含外部链接（包括但不限于超链接、二维码、口令等），用以提供更多信息，方便节省筛选时间，结果仅供参考。