斯巴鲁WRX STI漏洞或导致用户安全信息泄露

　　据独立研究员艾伦·古兹曼(Aaron Guzman)表示，他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞(software nvulnerabilities)，这类漏洞或将允许未经授权的用户执行锁车门、按喇叭(honk the nhorn)、获取车辆的行车位置记录等操作，还能在侵入车载Starlink账户后窃取用户的账户信息。

　　据Data Breach Today报道，古兹曼在Starlink令牌中发现了“**令牌问题(perma-token nproblems)”。斯巴鲁的Starlink采用随机生成的令牌，允许经过认证的用户对其进行访问。理论上讲，该认证将很快过期，以防止该令牌被重复使用。然而，软件漏洞却允许斯巴鲁用户处于**登陆状态。该令牌采用URL方式发送，可在明码电文(clear-text)数据库中找到该令牌，即使已清除密码已，该令牌永不过期。

　　其结果就是，若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型，或许他能够截取令牌并访问车主们的邮件，然后从斯巴鲁车载系统内获得用户的关键信息。这样，他们就能和车主一样，访问斯巴鲁车型的软件系统。

　　斯巴鲁的应对

　　*初，古兹曼发现2016款斯巴鲁WRX nSTI车型存在该软件漏洞，他表示曾将该问题上报给了斯巴鲁，据称对方已修复了该漏洞。然而，同样的软件漏洞却再次出现在了2017款WRX nSTI车型上。他表示：“斯巴鲁务必再次合并代码，重新修复漏洞。”

　　今年，古兹曼将该漏洞重新上报给斯巴鲁，据称已得到了斯巴鲁的积极回应。然而，古兹曼表示，大多数的软件漏洞已通过软件补丁修复，他将持续关注斯巴鲁发布的官方升级程序。

　　斯巴鲁表示，古兹曼利用他发现的软件漏洞，成功访问了2017款斯巴鲁WRX nSTI的账户数据。而斯巴鲁始终致力于将用户的风险降至**，尽管公司并未设置“漏洞奖励计划(bug bounty nprogram)”，但斯巴鲁将给予古兹曼奖励，鼓励他继续寻找该车型的软件漏洞。

• 上一篇：三菱因故障连续召回欧蓝德车型
• 下一篇：马自达RX-8系列汽车因燃油泵隐患宣布召回