近日,一起涉及斯巴鲁汽车的安全漏洞事件引起了广泛关注。据安全领域知情人士透露,尽管该漏洞已被迅速修复,但它所揭示的汽车隐私保护问题却不容忽视。
据相关报道,安全研究人员Sam Curry和Shubham Shah在深入调查后发现,斯巴鲁的员工网页门户存在重大安全隐患。这一漏洞使得黑客有可能远程控制车辆,并轻松获取车辆的位置数据。两位研究人员还警告,斯巴鲁并非个例,其他汽车品牌同样可能面临类似的数据安全风险。
在漏洞被发现后,斯巴鲁公司迅速采取了行动,成功修复了这一问题。据研究人员表示,在漏洞被修复之前,尚未有黑客利用这一漏洞进行非法活动。然而,斯巴鲁的授权员工仍能通过一些简单信息,如车主姓氏、邮政编码等,访问到车主的位置数据,这无疑引发了人们对汽车数据安全的担忧。
此次漏洞出现在斯巴鲁的“Starlink”服务中。研究人员通过一系列操作,包括在社交媒体平台上找到斯巴鲁员工的电子邮件地址,成功绕过了双重身份验证,重置了密码,并获取了测试车辆一年的位置数据。尽管他们无法确认员工是否能追溯到更早的数据,但这一发现已经足以引起业界的高度关注。
更为严重的是,研究人员还发现,通过管理员门户,他们可以远程控制车辆,包括启动、停止、锁车和解锁等功能。令人震惊的是,在被远程控制期间,Curry的母亲作为车主,并未收到任何解锁通知。研究人员还能够访问到车主的敏感信息,如紧急联系人、信用卡信息和车辆PIN码等,这无疑是对车主隐私的极大侵犯。
针对此事,斯巴鲁发言人表示,公司已经修复了漏洞,并强调在漏洞修复前,没有发生未经授权的数据访问事件。同时,公司还指出,只有部分授权员工才能访问车主的位置信息。然而,这一解释并未能完全消除公众对汽车数据安全的担忧。
研究人员指出,斯巴鲁的漏洞并非孤例,多个汽车品牌中都可能存在类似的数据安全漏洞。这一发现暴露了汽车行业在数据安全和隐私保护方面的严重不足,也为整个行业敲响了警钟。随着智能网联汽车的普及,如何确保汽车数据的安全和隐私保护,已成为亟待解决的问题。
