安全研究人员Shubham Shah与Sam Curry发现,Subaru车联网系统STARLINK(非SpaceX星链服务Starlink)管理面板存在一项重大安全漏洞,此漏洞允许攻击者利用车主个人基本资讯对车辆进行远程控制,包括启动引擎、解锁车门,以及查询精确到5米内的车辆历史位置记录。该漏洞影响范围广泛,涵盖所有美国、加拿大及日本连接STARLINK的车辆。经研究人员回应后,Subaru已在24小时内完成修补,并声明未发现有恶意滥用的情况。
此次安全事件的核心问题在于,攻击者只需极少的车主资讯例如姓氏和邮递区号,便能访问并控制特定车辆。此外,管理面板还可访问车主的个人数据,如地址、紧急联系人及账单资讯,甚至能查询过去一年车辆位置记录。这些资讯的泄露不仅侵犯个人隐私,更可能被有心人用于恶意目的,例如精确关注车辆位置。
STARLINK系统的漏洞源于管理面板的多项设计缺陷。其中,密码重设功能在没有任何验证机制,如确认信或一次性密码的情况下,允许任何人仅凭电子邮件地址即可重设账户密码。此外,尽管系统有实例双重验证(2FA),但其验证流程仅在客户端执行。攻击者发现,通过移除网页程序代码中触发双重验证弹出窗口的JavaScript函数,即可完全绕过验证,直接取得后端系统的完整操作权限。
系统对管理面板用户的电子邮件访问也缺乏严格限制,攻击者可利用API界面,像是安全问题查询功能,通过提交不同的电子邮件地址测试其有效性,枚指出合法的员工账户资讯,进一步接管账户并绕过身份验证。
厂商虽然迅速修复了漏洞,但该事件暴露出STARLINK车联网系统存在权限管理与数据保护的结构性问题,包括过于宽松的员工权限设计、缺乏完善的API安全防护机制等。 研究人员指出,Subaru员工拥有相当大的数据访问权限,例如一个18岁员工可以跨州查询车主的敏感资讯,而且不会触发任何警报。
