这个斯巴鲁黑客暴露了位置数据并允许远程访问

　　我们知道，汽车的互联性比以往任何时候都更好，当你想记住你把车停在哪里，或者在你还躺在床上时就开始为车窗除霜时，这是很好的。但这项现代技术带来了安全和隐私问题，正如斯巴鲁（Subaru）汽车及其Starlink软件所显示的那样。

　　安全研究人员Sam Curry和Shubham Shah在一篇博客文章中解释了他们是如何远程入侵斯巴鲁（Subaru）运营的Starlink联网汽车服务的。具体来说，他们针对的是库里母亲车上的软件，但同样的平台在美国、加拿大和日本的斯巴鲁汽车上运行。

　　通过获取司机的姓氏和附加的邮政编码、电子邮件地址、电话号码或车牌，库里和沙阿能够启动、停止、锁定和解锁斯巴鲁，以及检索其当前位置。此外，他们还可以查看收集到的一整年的位置历史（直到停车位）。

　　同样的黑客还可以访问司机的个人信息，包括他们的地址、账单信息（尽管不是他们的完整信用卡号码）和紧急联系人。支持通话记录，里程表读数，和电机以前的所有者也可以访问。

　　库里和沙阿在他们朋友的一辆斯巴鲁汽车上测试了这个系统，它又成功了——而且没有任何通知或警告司机他们的车被侵入了。所需要的只是成功登录到星链门户和一些基本的驱动程序信息。

　　斯巴鲁员工门户被黑客盯上了。来源：Sam Curry

　　虽然Starlink登录受到双因素认证和安全问题的保护，但这些安全措施是以定制的方式应用的，研究人员可以通过修改网站代码来绕过它们。换句话说，不需要输入密码。

　　这是一个相对简单的黑客对大量功能和数据的访问。好消息是，Curry和Shah向斯巴鲁报告了这个漏洞，斯巴鲁在24小时内就修补了这个漏洞——这个黑客再也不可能了。然而，斯巴鲁的员工仍然可以访问所有这些数据，这引发了更多的问题。

　　最初的黑客攻击是通过在linkedIn上进行一些侦查工作和对网站代码进行一些调整，以斯巴鲁员工的身份登录Starlink终端完成的。虽然这条访问途径现在已经被封锁，但真正的斯巴鲁员工仍然可以获得库里和沙阿找到的所有信息，包括当年的位置历史。

　　库里写道：“汽车行业的独特之处在于，一名来自德克萨斯州的18岁员工可以查询加州一辆汽车的账单信息，而且不会真的引起任何警觉。”“这是他们日常工作的一部分。员工都能接触到大量的个人信息，而这一切都依赖于信任。”

　　斯巴鲁员工可以看到

　　你去过斯塔吗

　　墨水。来源：Sam Curry

　　斯巴鲁告诉《连线》杂志，它的员工，“基于他们的工作相关性”，可以访问位置数据——例如，在检测到碰撞的情况下联系急救人员（尽管这几乎不需要一年的数据）。斯巴鲁表示，这些员工签署了隐私、安全和保密协议。

　　你可以在这里和这里阅读斯巴鲁的隐私政策。你会注意到，通过Starlink收集了很多关于你和你的车辆的数据，包括启动和停止的位置、车速和诊断信息。使用斯巴鲁网站或应用程序，你就可以访问全新的数据，包括设备上的麦克风和摄像头收集的数据。

　　更糟糕的是，这些政策适用于任何乘坐斯巴鲁- firefox的乘客，Mozilla在这里有一个全面的细分（注意这包括斯巴鲁的应用程序和网站以及Starlink）。虽然斯巴鲁承诺不会将你的数据出售给第三方，并表示需要这些信息来改善支持和检测犯罪活动，但它可以通过广告、通信和促销来针对你。

　　研究人员能够获得大量的用户数据。来源：Sam Curry

　　您可以采取一些步骤来限制这些数据收集。当然，你可以取消Starlink的订阅，但这样你就错过了紧急援助等功能。你还可以从手机上卸载任何与斯巴鲁相关的应用程序，通过MySubaru门户网站改变你的营销偏好，并填写这张表格，对特定州的数据收集和共享设置一定的限制——尽管不清楚表格涵盖了哪些数据，也不清楚现有数据将保留多长时间。

　　在汽车制造商中，斯巴鲁并不是唯一一个存在安全漏洞和可疑隐私政策的公司。然而，这再次提醒我们，额外的连接往往伴随着用户数据方面的额外成本——在决定下一步购买哪辆车时，可能还应该考虑一下制造商的数据收集政策。