斯巴鲁WRX STI存软件漏洞 用户信息或泄露

据外媒报道，一位车主利用黑客技术侵入了斯巴鲁WRX STI的车载软件，他发现该软件存在软件漏洞和安全隐患，易受黑客攻击。

用户发现软件漏洞

据独立研究员艾伦·古兹曼（Aaron Guzman）表示，他在自己的爱车2017款斯巴鲁WRX STI中发现了8个软件漏洞（software vulnerabilities），这类漏洞或将允许未经授权的用户执行锁车门、按喇叭（honk the horn）、获取车辆的行车位置记录等操作，还能在侵入车载Starlink账户后窃取用户的账户信息。

据Data Breach Today报道，古兹曼在Starlink令牌中发现了永久令牌问题（perma-token problems）。斯巴鲁的Starlink采用随机生成的令牌，允许经过认证的用户对其进行访问。理论上讲，该认证将很快过期，以防止该令牌被重复使用。然而，软件漏洞却允许斯巴鲁用户处于永久登陆状态。该令牌采用URL方式发送，可在明码电文（clear-text）数据库中找到该令牌，即使已清除密码已，该令牌永不过期。

其结果就是，若黑客知道受害人拥有一台2017款斯巴鲁或配置了Starlink技术的新款车型，或许他能够截取令牌并访问车主们的邮件，然后从斯巴鲁车载系统内获得用户的关键信息。这样，他们就能和车主一样，访问斯巴鲁车型的软件系统。

斯巴鲁的应对

最初，古兹曼发现2016款斯巴鲁WRX STI车型存在该软件漏洞，他表示曾将该问题上报给了斯巴鲁，据称对方已修复了该漏洞。然而，同样的软件漏洞却再次出现在了2017款WRX STI车型上。他表示：斯巴鲁务必再次合并代码，重新修复漏洞。

今年，古兹曼将该漏洞重新上报给斯巴鲁，据称已得到了斯巴鲁的积极回应。然而，古兹曼表示，大多数的软件漏洞已通过软件补丁修复，他将持续关注斯巴鲁发布的官方升级程序。

斯巴鲁表示，古兹曼利用他发现的软件漏洞，成功访问了2017款斯巴鲁WRX STI的账户数据。而斯巴鲁始终致力于将用户的风险降至最低，尽管公司并未设置漏洞奖励计划（bug bounty program），但斯巴鲁将给予古兹曼奖励，鼓励他继续寻找该车型的软件漏洞。