chicksdaddy 分享了安全分类帐的一份报告:斯巴鲁 STARLINK 远程信息处理软件中的漏洞使两名独立安全研究人员能够不受限制地访问部署在美国、加拿大和日本的数百万辆斯巴鲁汽车。在周四发布的一份报告中,研究人员 Sam Curry 和 Shubham Shah 披露了斯巴鲁 STARLINK 联网车辆服务中的一个现已修补的缺陷,该缺陷使他们能够远程控制斯巴鲁并访问车辆位置信息和驾驶员数据,而无需车辆车牌号,或者轻松地可访问的信息,例如车主的电子邮件地址、邮政编码和电话号码。 (注意:不要将斯巴鲁 STARLINK 与基于卫星的星链高速互联网服务混淆。)[库里和沙阿为库里母亲的 2023 年翼豹下载了一年的车辆位置数据(库里给她买了这辆车,并理解她会让他破解它。)这两名研究人员还在没有通知所有者的情况下将自己添加到朋友的 STARLINK 帐户,并使用该访问权限远程锁定和解锁朋友的斯巴鲁。] Curry 和 Shah 对 STARLINK 远程信息处理系统进行黑客攻击的细节与他 2023 年报告《网络黑客与汽车行业》中记录的黑客行为以及 2024 年 9 月在起亚汽车使用的基于网络的应用程序中发现的远程访问缺陷非常相似经销商还让远程攻击者能够窃取车主的个人信息并控制他们的起亚汽车。在每种情况下,库里和他的研究人员同事都发现了可供公开访问的联网车辆基础设施[发现员工和经销商很容易受到损害,甚至缺乏有关帐户创建和身份验证的基本保护]。
在 Slashdot 上阅读这个故事的更多内容。