安全研究人員在斯巴魯的Starlink 系統中發現了令人震驚的漏洞，可能導致數百萬輛汽車受到未經授權的存取和廣泛的位置追蹤。 雖然斯巴魯表示不會出售位置數據，但濫用的可能性是一個重大問題。

薩姆-庫裡（Sam Curry）為母親購買了一輛2023年款的翼豹（Impreza）汽車，在一次感恩節探訪中，他決定檢查一下該車的互聯網連接功能。

柯瑞和研究員舒巴姆-沙發現他們可以劫持對各種車輛功能的控制，包括解鎖車門、按喇叭和啟動點火裝置。 然而，庫裡認為最令人不安的是他們能夠存取詳細的位置歷史記錄。他告訴《連線》：”我可以檢索到汽車至少一年的定位歷史記錄，它被精確地定位，有時一天多次。無論是有人出軌、墮胎還是加入某個政治團體，都有無數種情況可以讓你利用這一點來對付某人。

研究人員首先發現了SubaruCS.com 網站密碼重設功能中的一個弱點，這是一個專為Subaru員工提供的管理入口網站。 他們只要猜測員工的電子郵件地址，就能啟動密碼重置程序，從而暴露了系統設計中的一個關鍵漏洞。

進一步調查發現，雖然該網站在重置過程中確實要求回答兩個安全性問題，但這些問題是透過在使用者瀏覽器中執行的客戶端程式碼驗證的，而不是在Subaru的伺服器上。 這項疏忽讓研究人員輕易繞過了安全問題，凸顯了該公司網路安全措施的重大失誤，並且是多個系統性失誤導致的。

隨後，庫里和沙利用LinkedIn 找到了斯巴魯Starlink 開發人員的電子郵件地址，利用漏洞接管了這名員工的帳戶，從而獲得了存取敏感資訊和控制的權限。 被入侵的帳戶允許他們使用各種個人識別資訊（如姓氏、郵編、電子郵件地址、電話號碼或車牌號碼）來尋找任何斯巴魯車主。

此外，他們還發現可以存取和修改任何車輛的Starlink 配置，以及重新分配對Starlink 功能的控制。 這包括遠端解鎖汽車、按喇叭、啟動點火裝置和定位車輛的能力。

最令人震驚的是，柯瑞和沙獲得了車輛的詳細定位歷史記錄，數據至少可以追溯到一年前。庫裡解釋說：”可以檢索到汽車至少一年的定位歷史記錄，它在哪裡被精確地定位，有時一天被定位多次。”

研究人員在11 月底報告了他們的發現後，斯巴魯很快就修補了安全漏洞。 然而，這起事件引發了人們對汽車產業隱私和資料安全的廣泛關注。 研究人員警告說，其他汽車製造商的系統也可能有類似的漏洞。

斯巴魯發言人證實，某些員工可以存取位置數據，並表示這是必要的，例如在發生碰撞時與急救人員共享車輛位置。該公司表示：”所有這些人都接受過適當的培訓，並根據需要簽署適當的隱私、安全和NDA 協議。 該公司還表示不會出售位置資料。”

這項發現是連網汽車安全漏洞大趨勢的一部分。 柯瑞和其他研究人員先前已經發現了影響多家汽車製造商的類似問題，包括謳歌、捷尼賽思、本田、現代、英菲尼迪、起亞和豐田。

這起事件凸顯了圍繞現代汽車的隱私問題日益嚴重。 Mozilla 基金會最近的一份報告強調，92%的汽車製造商幾乎不允許車主控制收集到的數據，84%的汽車製造商保留出售或分享這些資訊的權利。