В софтуера на Subaru е открита уязвимост, която позволява дистанционно отключване, запалване и наблюдение на милиони автомобили
Изследователите в региона на киберсигурността Сам Къри и Шубхам Шах са разкрили уязвимости в информационно-развлекателната система Starlink на Subaru (която не е обвързвана с SpaceX), които разрешават отчасти прихващане на ръководството и следенето на автомобила.
Експертите са съумели да обхванат в системата Starlink посредством уеб портала на Subaru. Повтаряйки дейностите им, евентуален нападател получава опция да отвори автомобила, да натисне клаксона, да възпламени мотора, както и да пренасочи тези функционалности към всеки телефон или компютър.
Установено е също, че системата има опция да наблюдава местоположението на колите на Subaru – освен къде се намират сега, само че и историята на тяхното придвижване. Хакерската офанзива била осъществена върху автомобил, принадлежащ на майката на Къри – той видял в системата всички нейни пътувания. Уязвимостта, открита от специалистите е годна за системите Subaru Starlink в Съединени американски щати, Канада и Япония.
Експертите идентифицираха името на домейна на уебсайт, посредством който се реализира дистанционно управление на функционалностите на транспортното средство. След като проучили този уебсайт, те разкрили метод да получат административни привилегии в него – те взели имейл адреса на чиновник и нулирали паролата му. За тази цел системата поискала от потребителя да отговори на два въпроса за сигурност, само че те се проверявали от местен скрипт в браузъра на потребителя, а не на сървъра на Subaru и не било мъчно тази отбрана да бъде заобиколена.
Те намерили имейл адреса на разработчик на Subaru Starlink в LinkedIn, хакнали профила му в административния портал и разкрили, че той има достъп до опция за търсене на всеки притежател на автомобил Subaru по име, пощенски код, имейл адрес, телефонен номер или регистрационен номер – намирането на верния автомобил им дало достъп до конфигурацията на Starlink.
В края на ноември предходната година откривателите съобщили за своите открития на Subaru и производителят на коли предприе бързи дейности за премахване на уязвимостите.
Това решило казуса със сигурността, само че оставило проблем с неприкосновеността на персоналния живот: макар, че евентуалните нападатели към този момент нямат опция да прихващат функционалностите за ръководство на автомобила и да четат историята на придвижването му, чиновниците на Subaru към момента могат да вършат всички тези неща. Компанията удостовери, че чиновниците ѝ в действителност имат достъп до всички тези функционалности, само че увери, че те са съответно подготвени и подписват съглашения за неразкриване на информация. На процедура се допуска, че те имат достъп до местоположението на автомобила, с цел да го оповестят на службите за незабавна помощ, в случай че системата засече произшествие.
Фактът, че Subaru следи придвижването на коли лично произвеждане демонстрира, че в цялата автомобилна промишленост към този момент няма гаранции за цялост на персоналния живот, показва Къри. Така както се допуска, че чиновник на Гугъл не може да чете кореспонденцията на потребителите на Gmail, в Subaru историята на придвижването на колите е налична за чиновниците на компанията. По-рано стана известно, че същите данни за колите на VW Group са били обществено притежание заради дейностите на компанията Cariad, която е част от концерна.
