Specjaliści ds. bezpieczeństwa odkryli poważne luki w systemie Subaru Starlink, które mogą narazić miliony pojazdów na nieautoryzowany dostęp oraz umożliwić szczegółowe śledzenie lokalizacji. Choć Subaru twierdzi, że nie sprzedaje danych lokalizacyjnych, potencjalne możliwości ich nadużycia budzą duże obawy.
Wszystko zaczęło się, gdy Sam Curry, specjalista ds. bezpieczeństwa, kupił swojej matce Subaru Imprezę z 2023 roku. Podczas Święta Dziękczynienia postanowił przyjrzeć się internetowym funkcjom pojazdu. Wraz z kolegą, Shubhamem Shahem, odkrył, że mogą przejąć kontrolę nad różnymi funkcjami samochodu, takimi jak odblokowywanie drzwi, uruchamianie silnika czy klakson.
Najbardziej niepokojącym odkryciem była możliwość uzyskania dostępu do szczegółowej historii lokalizacji pojazdu. Jak powiedział Curry w rozmowie z Wired, można było odzyskać dane lokalizacyjne nawet sprzed roku, z dokładnością do konkretnych punktów, co pozwalało na wielokrotne śledzenie pojazdu każdego dnia.
Specjaliści ds. bezpieczeństwa odkryli poważne luki w systemie Subaru Starlink, które mogą narazić miliony pojazdów na nieautoryzowany dostęp.
Jak doszło do włamania?
Badacze rozpoczęli od analizy funkcji resetowania hasła na stronie SubaruCS.com, przeznaczonej dla pracowników Subaru. Wystarczyło odgadnąć adres e-mail pracownika, aby uruchomić proces resetowania hasła.
Podczas resetowania system wymagał odpowiedzi na dwa pytania zabezpieczające, ale, co zaskakujące, ich weryfikacja odbywała się po stronie przeglądarki użytkownika, a nie na serwerach Subaru. To poważne niedopatrzenie umożliwiło badaczom obejście zabezpieczeń.
W kolejnym kroku Curry i Shah wykorzystali LinkedIn, aby znaleźć adres e-mail jednego z deweloperów Starlink. Dzięki temu przejęli jego konto, uzyskując dostęp do wrażliwych danych i funkcji systemu.
Możliwości atakujących
Po przejęciu konta badacze mogli:
-
Wyszukiwać dane właścicieli Subaru na podstawie nazwiska, kodu pocztowego, adresu e-mail, numeru telefonu lub tablicy rejestracyjnej.
-
Zmieniać konfiguracje systemu Starlink dla dowolnego pojazdu.
-
Przejąć kontrolę nad funkcjami Starlink, takimi jak odblokowywanie samochodu, uruchamianie silnika czy namierzanie pojazdu.
-
Uzyskać dostęp do szczegółowej historii lokalizacji pojazdów.
Reakcja Subaru
Po zgłoszeniu problemu w listopadzie Subaru szybko załatało luki w systemie. Rzecznik firmy potwierdził, że pracownicy mogą uzyskiwać dostęp do danych lokalizacyjnych w określonych celach, takich jak pomoc służbom ratunkowym w przypadku kolizji. Dodał, że wszyscy pracownicy mają odpowiednie szkolenia i podpisują umowy o zachowaniu poufności. Firma zapewniła również, że nie sprzedaje danych lokalizacyjnych.
Szerszy problem w branży
Incydent z Subaru wpisuje się w szerszy trend związany z lukami w zabezpieczeniach pojazdów połączonych z internetem. Curry i inni badacze wcześniej zidentyfikowali podobne problemy u takich producentów jak Acura, Genesis, Honda, Hyundai, Infiniti, Kia czy Toyota.
Raport fundacji Mozilla podkreśla, że 92% producentów samochodów daje właścicielom niewielką lub żadną kontrolę nad zbieranymi danymi, a 84% z nich zastrzega sobie prawo do sprzedaży lub udostępniania tych informacji.
Pokaż / Dodaj komentarze do: Masz samochód tej marki? Uważaj, mógł zostać zhakowany i śledzony. Miliony narażonych użytkowników