当前位置： 当前位置：首页 >系统运维 >斯巴鲁惊爆高危漏洞：仅凭车牌即可劫持车辆正文

只需一张车牌号 ，斯巴黑客就能远程操控你的鲁惊辆斯巴鲁汽车——这不是科幻电影桥段，而是爆高真实存在的安全漏洞。

近日，危漏漏洞赏金猎人Sam Curry与研究伙伴Shubham Shah在斯巴鲁的洞仅Starlink车联网服务中发现一个“任意账户接管”高危漏洞，攻击者可借此劫持美国、凭车牌即加拿大
、可劫日本三国的持车斯巴鲁车辆，实现远程跟踪 、斯巴解锁
、鲁惊辆启动甚至窃取用户敏感数据 。源码下载爆高目前该漏洞已被修复，危漏但汽车行业的洞仅网络安全短板再次暴露无遗 。

漏洞杀伤链：从车牌到全面接管

2024年11月20日
，凭车牌即研究团队在斯巴鲁Starlink管理门户中发现一个致命漏洞 ：其“resetPassword.json”API接口允许员工仅凭邮箱即可重置账户
，可劫无需任何验证令牌。通过该入口接管员工账号后 ，研究人员进一步绕过双因素认证（2FA）界面——仅需删除前端弹窗覆盖层，便直通管理员后台。

“系统内存在大量端点接口，其中‘车辆搜索’功能尤其危险。”Curry解释称 ，攻击者可通过车牌号反查车辆VIN码 ，或直接输入用户姓氏 、邮编、邮箱、高防服务器电话等任一信息 ，即可无限制访问目标车辆
。在演示视频中，研究团队仅用10秒便获取了一辆斯巴鲁汽车过去一年的行驶轨迹 ，精度达5米级
 。

一辆车被攻破=用户全维度隐私裸奔

成功利用该漏洞的黑客可对车辆实施以下操作：

远程操控 ：启动/熄火、锁车/解锁 、实时定位（误差≤5米）；历史轨迹追踪：调取365天内所有行车记录，每次点火自动更新；用户数据窃取：紧急联系人、授权用户名单 、家庭住址、信用卡尾号 、车辆PIN码；深度信息挖掘：客服通话记录  、前任车主信息 、建站模板里程数、销售历史等
。

更令人不安的是，研究人员使用朋友的斯巴鲁车牌实测发现，攻击者甚至能通过后台直接修改车辆访问权限。“理论上 ，斯巴鲁Starlink管理后台可操控所有美、加 、日市场的车辆
。”Curry强调
。

车企“漏洞闪电战” ：24小时修复但隐患未除

据披露
，斯巴鲁在接到报告后24小时内紧急修补漏洞
，服务器租用且尚无证据表明该漏洞遭恶意利用 。然而，这已是Curry团队今年第二次攻破车企防线——此前他们在起亚经销商门户中发现类似漏洞，仅凭车牌即可定位并盗取2013年后生产的数百万辆起亚汽车。

“车企往往优先考虑功能创新 ，却将安全置于次要位置。”研究者指出 ，随着车联网渗透率提升，API接口  、云端权限管理等环节正成为黑客新靶点
。“一旦车企后台与车辆控制系统直连 ，任何漏洞都可能演变为物理级攻击。”

总结 ：车企的两大安全顽疾

此次事件暴露出汽车行业的免费模板两大常见安全顽疾 ：

权限管理粗放化：车企员工后台与用户数据的隔离措施形同虚设；安全响应被动化：依赖外部白帽黑客“救火” ，而非构建主动防御体系 。

当前，全球智能网联汽车市场规模已突破千亿美元 ，但麦肯锡数据显示，60%车企的网络安全预算不足IT总投入的5% 。当汽车从机械产品进化为“数据枢纽” ，行业亟需建立覆盖研发
、运维
、应急的全生命周期安全机制——毕竟 ，没人希望自己的座驾成为黑客手中的亿华云“遥控玩具” 。