By Jason Yuan (Engineer, Automotive)
資安研究人員 Sam Curry 最近公開揭露了他與研究夥伴 Shubham Shah 在 2024 年 11 月於Subaru車上的車載資訊娛樂(IVI)系統基礎架構中發現的一個漏洞。這個漏洞已同時間向Subaru披露並在當月完成修復,其源頭來自管理系統,該系統提供對客戶資料、車輛控制與歷史紀錄的完整存取權限。這些系統開放公開訪問但是缺乏足夠的身份驗證,導致從存取個人資料到遠端解鎖車輛等敏感功能皆處於風險之中。這篇文章將探討這個漏洞的本質、如何發現與成因,以及它對於今日高度聯網車輛的意義。
搭上遠端管理的浪潮
汽車製造商(OEM)正積極整合、導入遠端管理功能,讓車主能透過行動應用程式或網頁儀表板隨時隨地與車輛進行互動。以 Subaru 的 Starlink 系統為例,即提供遠端上鎖與解鎖、發動引擎以及診斷檢查等功能。
Starlink這類系統提供全天候連網能力直接提升使用者便利性,也為車廠帶來切實的益處,得即時收集車上性能資料、更有效地管理車隊、以及部署無線 (OTA) 更新。然而,這些系統管理入口網站的安全性防護並沒有跟上系統重要性日增的趨勢。
深入探究:潛藏風險在哪?
根據 Curry 與 Shah 的研究,Subaru 將敏感服務暴露在外,即使是經驗豐富的安全研究人員也能輕易發現。透過執行「網域模糊測試」與子網域辨識技術,研究人員找到了連結至 Starlink 系統的管理入口。入口中的關鍵指令碼可以被公開存取,卻未實施足夠的防護措施。
其中一段指令碼允許管理員在無需身份驗證的情況下可以重設密碼。唯一的要求是提供有效的管理員電子郵件地址,而該地址資訊可透過 OSINT(open-source intelligence, 開源情報)手法取得。換句話說,只需具備一些開源情報 (OSINT) 技能的駭客就可以重設管理員密碼並有效接管(竊取)此帳號。
研究人員僅透過一個車牌號碼,便成功查詢車主身份、查看車子 GPS 記錄、甚至可下指令解鎖車門,充分彰顯出這個漏洞的嚴重性。
此漏洞風險極高。只需付出極小的功夫,攻擊者便可以追蹤車輛位置、竊取個資,甚至操控車輛的關鍵功能。即便只獲得所需的有限權限,也構成安全威脅。意外的是,這個暴露的系統入口網站竟提供了多項從未預期提供公開存取的管理功能。
圖一:攻擊流程圖,顯示研究人員如何一步步取得 Subaru Starlink IVI 系統的完整管理員存取權限。
所幸 Subaru 立即修補該漏洞,研究人員也證實該攻擊已無法重現。
在高度連網的時代中強化車輛網路安全防禦
隨著車輛互聯程度和軟體驅動程度的提高,車載系統的複雜度與受攻擊面也從傳統 IT 網路的防護延伸擴展到車輛本身。這種互聯互通可能會加劇風險,使得諸如管理員遠端解鎖汽車或者存取敏感資料之類的攻擊行為變得更加危險。
OEM 必須超越僅保護使用者應用程式的思維,嚴格檢測所有後端系統與管理系統入口。定期進行第三方滲透測試,對於有效辨識 API 與網站安全漏洞至關重要。
實施最小特權原則並限制用戶資料傳輸至後端系統,有助於降低風險。結合 IT 安全營運中心(SOC)與車輛網路安全營運中心(VSOC)的持續監控機制,能提升整體汽車安全防禦力。透過關聯分析 API 安全事件與車輛資料,OEM 將可獲得更具情境的風險可視度,從而實現更有效的風險評估和更合理的資源配置,以應對新興威脅。
前進未來,資安必須從設計出發
這個案例說明如果車輛系統從設計開始就沒有將安全信納入考慮,隨著軟體和高度互聯的應用比重越高以提升便利性,這個不夠安全的便利性反而可能轉化為漏洞,並成為車廠的負擔。應對這樣的趨勢,全球各區域或是國家正積極強化相關法規與標準,以保護駕駛安全與資料隱私。同時,新興技術如自駕車與車聯網(V2X)也帶來了前所未有的風險威脅,遠超傳統 IT 網路或應用程式的安全挑戰。
在這持續變化的格局下,前瞻性的資安思維以及與專業夥伴的合作,有助於確保車輛互聯出行在持續創新的同時,不損害安全性。汽車網路安全不能僅依賴於次次修補個別缺陷,被當成事後補救的附加項目;應該自生命週期中的設計初期直至退役全程進行防護,真正守護車輛與駕駛者的安全。
