Vulnerabilitatea Subaru a expus milioane de mașini la piratare și urmărire de la distanță

URMĂREȘTE-NE
16,065FaniÎmi place
1,142CititoriConectați-vă

„Puteți recupera istoricul locațiilor de cel puțin un an pentru mașină, unde este semnalat cu precizie”

Un cartof fierbinte: Cercetătorii în domeniul securității au descoperit vulnerabilități alarmante în sistemul Starlink de la Subaru, expunând posibil milioane de vehicule la acces neautorizat și la urmărirea extinsă a locației. În timp ce Subaru a spus că nu vinde date despre locație, potențialul de utilizare greșită este o preocupare semnificativă.

Descoperirea a început atunci când Sam Curry, după ce a cumpărat un Impreza din 2023 pentru mama sa, a decis să examineze caracteristicile sale conectate la internet în timpul unei vizite de Ziua Recunoștinței.

Curry și colegul cercetător Shubham Shah au descoperit că pot deturna controlul diferitelor funcții ale vehiculului, inclusiv deblocarea ușilor, claxonarea și pornirea contactului. Cu toate acestea, ceea ce Curry a găsit cel mai deranjant a fost capacitatea de a accesa istoricul detaliat al locațiilor. „Puteți recupera istoricul locațiilor de cel puțin un an pentru mașină, în cazul în care este ping cu precizie, uneori de mai multe ori pe zi”, a spus Curry pentru Wired. El a adăugat: „Fie că cineva își înșală soția sau face un avort sau face parte dintr-un grup politic, există un milion de scenarii în care ai putea pune asta împotriva cuiva”.

Cercetătorii au început prin a identifica o slăbiciune în funcționalitatea de resetare a parolei de pe site-ul SubaruCS.com, un portal administrativ destinat angajaților Subaru. Prin simpla ghicire a adresei de e-mail a unui angajat, aceștia ar putea iniția un proces de resetare a parolei, expunând o defecțiune critică în proiectarea sistemului.

O investigație ulterioară a relevat că, deși site-ul a cerut răspunsuri la două întrebări de securitate în timpul procesului de resetare, acestea au fost verificate folosind codul client care rulează în browserul utilizatorului, mai degrabă decât pe serverele Subaru. Această supraveghere le-a permis cercetătorilor să ocolească cu ușurință întrebările de securitate, evidențiind o lipsă semnificativă a măsurilor de securitate cibernetică ale companiei. „Au fost cu adevărat mai multe eșecuri sistemice care au dus la asta”, a spus Shah pentru Wired.

Curry și Shah au folosit apoi LinkedIn pentru a localiza adresa de e-mail a unui dezvoltator Subaru Starlink, exploatând vulnerabilitățile pentru a prelua contul acestui angajat, ceea ce le-a acordat acces la informații și controale sensibile. Contul compromis a permis perechii să caute orice proprietar Subaru folosind diverse identificatoare personale, cum ar fi numele de familie, codul poștal, adresa de e-mail, numărul de telefon sau plăcuța de înmatriculare.

Mai mult, ei au descoperit că ar putea accesa și modifica configurațiile Starlink pentru orice vehicul, precum și să reatribuie controlul funcțiilor Starlink. Aceasta includea capacitatea de a debloca mașinile de la distanță, de a suna claxonele, de a porni aprinderea și de a localiza vehicule.

Cel mai alarmant este că Curry și Shah au obținut acces la istoriile detaliate ale locațiilor vehiculelor, date care datează de cel puțin un an. „Puteți recupera istoricul locațiilor de cel puțin un an pentru mașină, în cazul în care este ping cu precizie, uneori de mai multe ori pe zi”, a explicat Curry pentru Wired.

Subaru a remediat rapid defectele de securitate după ce cercetătorii și-au raportat descoperirile la sfârșitul lunii noiembrie. Cu toate acestea, incidentul ridică preocupări mai ample cu privire la confidențialitate și securitatea datelor în industria auto. Cercetătorii avertizează că vulnerabilități similare există probabil în sistemele altor producători de automobile.

Un purtător de cuvânt al Subaru a confirmat pentru Wired că anumiți angajați pot accesa datele despre locație, declarând că este necesar în scopuri precum partajarea locației vehiculului cu primii care răspund în caz de coliziuni. „Toți acești indivizi primesc o pregătire adecvată și li se cere să semneze acorduri adecvate de confidențialitate, securitate și NDA, după cum este necesar”, a spus compania. De asemenea, a spus că nu vinde date de locație.

Descoperirea face parte dintr-o tendință mai mare de vulnerabilități de securitate în vehiculele conectate. Curry și alți cercetători au identificat anterior probleme similare care afectează mai mulți producători de automobile, inclusiv Acura, Genesis, Honda, Hyundai, Infiniti, Kia și Toyota.

Acest incident subliniază preocupările tot mai mari de confidențialitate din jurul vehiculelor moderne. Un raport recent al Fundației Mozilla a evidențiat că 92% dintre producătorii de mașini le oferă proprietarilor puțin sau deloc control asupra datelor colectate, iar 84% își rezervă dreptul de a vinde sau de a partaja aceste informații.

Dominic Botezariu
Dominic Botezariuhttps://www.noobz.ro/
Creator de site și redactor-șef.

Cele mai noi știri

Pe același subiect

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.