只需一張車牌號，黑客就能遠程操控你的斯巴魯汽車——這不是科幻電影橋段，而是真實存在的安全漏洞。

近日，漏洞賞金獵人Sam Curry與研究伙伴Shubham Shah在斯巴魯?shù)腟tarlink車聯(lián)網(wǎng)服務中發(fā)現(xiàn)一個“任意賬戶接管”高危漏洞，攻擊者可借此劫持美國、加拿大、日本三國的斯巴魯車輛，實現(xiàn)遠程跟蹤、解鎖、啟動甚至竊取用戶敏感數(shù)據(jù)。目前該漏洞已被修復，但汽車行業(yè)的網(wǎng)絡安全短板再次暴露無遺。

漏洞殺傷鏈：從車牌到全面接管

2024年11月20日，研究團隊在斯巴魯Starlink管理門戶中發(fā)現(xiàn)一個致命漏洞：其“resetPassword.json”API接口允許員工僅憑郵箱即可重置賬戶，無需任何驗證令牌。通過該入口接管員工賬號后，研究人員進一步繞過雙因素認證（2FA）界面——僅需刪除前端彈窗覆蓋層，便直通管理員后臺。

“系統(tǒng)內(nèi)存在大量端點接口，其中‘車輛搜索’功能尤其危險?！盋urry解釋稱，攻擊者可通過車牌號反查車輛VIN碼，或直接輸入用戶姓氏、郵編、郵箱、電話等任一信息，即可無限制訪問目標車輛。在演示視頻中，研究團隊僅用10秒便獲取了一輛斯巴魯汽車過去一年的行駛軌跡，精度達5米級。

一輛車被攻破=用戶全維度隱私裸奔

成功利用該漏洞的黑客可對車輛實施以下操作：

• 遠程操控：啟動/熄火、鎖車/解鎖、實時定位（誤差≤5米）；
• 歷史軌跡追蹤：調(diào)取365天內(nèi)所有行車記錄，每次點火自動更新；
• 用戶數(shù)據(jù)竊?。壕o急聯(lián)系人、授權用戶名單、家庭住址、信用卡尾號、車輛PIN碼；
• 深度信息挖掘：客服通話記錄、前任車主信息、里程數(shù)、銷售歷史等。

更令人不安的是，研究人員使用朋友的斯巴魯車牌實測發(fā)現(xiàn)，攻擊者甚至能通過后臺直接修改車輛訪問權限?！袄碚撋希拱汪擲tarlink管理后臺可操控所有美、加、日市場的車輛?！盋urry強調(diào)。

車企“漏洞閃電戰(zhàn)”：24小時修復但隱患未除

據(jù)披露，斯巴魯在接到報告后24小時內(nèi)緊急修補漏洞，且尚無證據(jù)表明該漏洞遭惡意利用。然而，這已是Curry團隊今年第二次攻破車企防線——此前他們在起亞經(jīng)銷商門戶中發(fā)現(xiàn)類似漏洞，僅憑車牌即可定位并盜取2013年后生產(chǎn)的數(shù)百萬輛起亞汽車。

“車企往往優(yōu)先考慮功能創(chuàng)新，卻將安全置于次要位置。”研究者指出，隨著車聯(lián)網(wǎng)滲透率提升，API接口、云端權限管理等環(huán)節(jié)正成為黑客新靶點。“一旦車企后臺與車輛控制系統(tǒng)直連，任何漏洞都可能演變?yōu)槲锢砑壒?。?/p>

總結：車企的兩大安全頑疾

此次事件暴露出汽車行業(yè)的兩大常見安全頑疾：

• 權限管理粗放化：車企員工后臺與用戶數(shù)據(jù)的隔離措施形同虛設；
• 安全響應被動化：依賴外部白帽黑客“救火”，而非構建主動防御體系。

當前，全球智能網(wǎng)聯(lián)汽車市場規(guī)模已突破千億美元，但麥肯錫數(shù)據(jù)顯示，60%車企的網(wǎng)絡安全預算不足IT總投入的5%。當汽車從機械產(chǎn)品進化為“數(shù)據(jù)樞紐”，行業(yè)亟需建立覆蓋研發(fā)、運維、應急的全生命周期安全機制——畢竟，沒人希望自己的座駕成為黑客手中的“遙控玩具”。