只需一张车牌号,黑客就能远程操控你的斯巴鲁汽车——这不是科幻电影桥段,而是真实存在的安全漏洞。
近日,漏洞赏金猎人Sam Curry与研究伙伴Shubham Shah在斯巴鲁的Starlink车联网服务中发现一个“任意账户接管”高危漏洞,攻击者可借此劫持美国、加拿大、日本三国的斯巴鲁车辆,实现远程跟踪、解锁、启动甚至窃取用户敏感数据。目前该漏洞已被修复,但汽车行业的网络安全短板再次暴露无遗。
2024年11月20日,研究团队在斯巴鲁Starlink管理门户中发现一个致命漏洞:其“resetPassword.json”API接口允许员工仅凭邮箱即可重置账户,无需任何验证令牌。通过该入口接管员工账号后,研究人员进一步绕过双因素认证(2FA)界面——仅需删除前端弹窗覆盖层,便直通管理员后台。
“系统内存在大量端点接口,其中‘车辆搜索’功能尤其危险。”Curry解释称,攻击者可通过车牌号反查车辆VIN码,或直接输入用户姓氏、邮编、邮箱、电话等任一信息,即可无限制访问目标车辆。在演示视频中,研究团队仅用10秒便获取了一辆斯巴鲁汽车过去一年的行驶轨迹,精度达5米级。
更令人不安的是,研究人员使用朋友的斯巴鲁车牌实测发现,攻击者甚至能通过后台直接修改车辆访问权限。“理论上,斯巴鲁Starlink管理后台可操控所有美、加、日市场的车辆。”Curry强调。
据披露,斯巴鲁在接到报告后24小时内紧急修补漏洞,且尚无证据表明该漏洞遭恶意利用。然而,这已是Curry团队今年第二次攻破车企防线——此前他们在起亚经销商门户中发现类似漏洞,仅凭车牌即可定位并盗取2013年后生产的数百万辆起亚汽车。
“车企往往优先考虑功能创新,却将安全置于次要位置。”研究者指出,随着车联网渗透率提升,API接口、云端权限管理等环节正成为黑客新靶点。“一旦车企后台与车辆控制系统直连,任何漏洞都可能演变为物理级攻击。”
当前,全球智能网联汽车市场规模已突破千亿美元,但麦肯锡数据显示,60%车企的网络安全预算不足IT总投入的5%。当汽车从机械产品进化为“数据枢纽”,行业亟需建立覆盖研发、运维、应急的全生命周期安全机制——毕竟,没人希望自己的座驾成为黑客手中的“遥控玩具”。
特朗普又开始威胁:对墨西哥加关税!关税暴涨40倍,有美国电商撑不住了:一半雇员或被解雇!金价再暴涨!美债继续波动,是谁在抛售?
据新华社4月11日报道,美国总统特朗普10日威胁说,如果墨西哥没有按照美墨两国间1944年的一份协议按量向美南部的得克萨斯州供水,将对墨实施包括惩罚性关税在内的制裁措施。
为加强天津银行•2025天津宁河七里海半程马拉松赛事期间对无人机等“低慢小”航空器的管控,切实维护活动空域安全,根据《中华人民共和国飞行基本规则》《大型群众性活动管理条例》《通用航空飞行管制条例》《无人驾驶航空器飞行管理暂行条例》和《天津市民用机场净空及安全管理规定》等有关规定,
500万美元一张目标富有移民,美国商务部长:将在一周内开始发放移民“金卡”
突发!重大调整 特斯拉中国停止供应Model S和Model X两款新车 关税影响发酵?#特斯拉 #ModelS #ModelX
受到特朗普关税政策的持续冲击,当地时间周三,欧洲主要车企的股价普遍下挫。当前,英国、德国等多家车企已经陆续宣布暂停发货、闲置工厂等应对措施。CNBC 蒋钰:当地时间周三,欧洲汽车巨头的股价继续受到了特朗普关税政策影响,延续了近期的跌势,截至收盘普遍下挫。
这些食物被叫“毁肾王”!其中一类肾毒性超强!不少人曾吃过,以后千万别乱吃了
因为相信它们能“清热解毒”、“降火明目”,有不少人曾生吞过动物的胆,比如蛇胆、鱼胆!殊不知,动物胆汁中的有毒物质就储存在胆囊内,人在服用后,有可能引起多脏器损伤,包括肝衰竭、肾衰竭。
日前,武汉审结一起买卖国家机关证件案件,一家名为“梧桐妇产”的民营医院,两位院长、一位医保办主任及业务员,共4人因贩卖出生医学证明被判刑。
4月11日,据上海市公安局城市轨道和公交总队官方微博消息,4月10日,杨某为博取关注,满足个人虚荣心,凭空编造“4月8日轨交1号线猥亵案被侵害人与违法行为人相识并相约至地铁内实施违法行为”等不实信息,并通过其个人社交账号发布在网上,造成恶劣社会影响。
在我国反制手段火速出炉,对美加税到84%后,特朗普已经恼羞成怒了,不仅朝令夕改,暂停对其他国家加税,保留对华加税,还进一步放出狠话,表示由于中国“不尊重”全球市场,美国将把对中国的关税提高到125%,立即生效。
