试想一下,晚上下班回家的你将心爱的斯巴鲁WRX STI停在自家后院里,按下锁车键后潇洒地进屋蒙头大睡。第二天早上起来,心想着再体会下最原始的机械乐趣,却发现以往出现在PS4游戏中的场景降落在了自己身上——车凭空消失了!且车旁也没有野生罗宾汉留下的字条或插在树干上的匕首,发生了什么?
事实上,这并不是科幻小说或主机游戏中的某个未来黑客场景,而是即将发生在斯巴鲁WRX STI甚至是斯巴鲁品牌其它汽车产品上的可怕场景。
一位名叫艾伦·古兹曼(Aaron Guzman)的独立研究员近日宣称,他在自己的心爱的2017款斯巴鲁WRX STI中发现了数量惊人的软件漏洞,通过这些漏洞,未经授权的用户——也就是非车主的路人甲——可以自由执行解锁/锁闭车门、鸣笛、获取车辆位置记录等操作。更深一步的入侵后,甚至可以拿到用户车载账户的相关信息。
据这位资深程序员兼斯巴鲁WRX STI车主称,他发现的这些软件漏洞允许斯巴鲁用户永久处于登陆状态,正确的场景是只允许经过认证的用户进行访问,而不是长期保持“门洞大开”的状态。
如果你曾经玩过诸如《魔兽世界》之类的网络游戏,对“安全令牌”这个概念并不陌生,斯巴鲁WRX STI的系统漏洞让车辆的“安全令牌”保持现有排列组合且永不过期,即便手动进行密码清除也无法解除登陆状态。
在别有用心的人看来,这8个漏洞简直是盗取这辆北美地区起售价为3.6万美元的日系性能车的绝佳法门,只要通过技术手段截取“安全令牌”中的秘钥,随后访问车主们的私人邮件,获取车主的关键信息,此时身处百公里之外的他们就和车主一样,访问软件系统并为所欲为地进行操作。
也许这些黑客们并不会发动WRX来一场远程控制飙车赛,但删除车载歌单和座椅记忆位置就足以让很多人心怀怯骇。
这并不是斯巴鲁WRX STI第一次出现软件漏洞,艾伦曾在该车型的2016款上发现过该问题并报告斯巴鲁,这家固执而保守的日本汽车制造商在系统安全上采取了较为积极的回应态度并发布相关修复补丁。但不依不饶的艾伦依旧表示补丁并没有彻底根除前述安全问题,而他也将继续寻找隐藏的更深的漏洞。
虽然安全漏洞目前仅报告出现于WRX STI单一车型上,但斯巴鲁的其它车型,如森林人、傲虎和力狮等所使用的车载系统与WRX一样都是由斯巴鲁内部开发的,软件后门是否也会同样出现在出WRX以外的车型上目前并无确切答案。
这就相当于IOS系统出现漏洞,与你使用的是iPhone6还是iPhone7并无直接关系。
界面记者随后就此问题向斯巴鲁中国相关人员求证,但截止发稿时并未收到正面回复。而据界面记者调查,目前斯巴鲁官方在国内贩售的4款车型(BRZ之前贩售,但可靠消息称今年内将停止销售)中,WRX STI并不包括在内,而通过平行进口方式进入国内市场的WRX STI数量少到几乎可以忽略不计,所以国内大部分消费者并不需要担心WRX STI上出现的漏洞。
来源:界面新闻