Luka w usługach Subaru umożliwiła hakerom odblokowanie samochodów i śledzenie historii podróży kierowców.
Pod koniec ubiegłego roku badacze odkryli poważną lukę w zabezpieczeniach wewnętrznej usługi internetowej Subaru i systemu samochodowego Subaru Starlink. Otwierała ona pełny dostęp do danych osobowych klientów firmy, w tym historii lokalizacji, kontaktów alarmowych, historii połączeń i innych.
Co wiadomo
Badacze cyberbezpieczeństwa Sam Curry i Shubham Shah odkryli lukę w listopadzie 2024 r. podczas badania Subaru Impreza matki Curry'ego z 2023 r., które kupił rok wcześniej. Curry powiedział Wired w komentarzu, że uzyskał dostęp do co najmniej rocznej dokładnej historii lokalizacji samochodu i innych poufnych informacji.
Badacze byli w stanie zalogować się na stronie internetowej Subaru pod zhakowanym kontem pracownika firmy. Umożliwiło im to przejęcie kontroli nad funkcjami Starlink samochodów i uzyskanie dostępu do ogromnej ilości danych osobowych, w tym imienia i nazwiska klienta, kontaktów alarmowych, historii połączeń, adresu domowego, a nawet kodu PIN samochodu. Mogli również zdalnie odblokować samochód i uruchomić go. Wszystko, czego potrzebowali, to nazwisko ofiary wraz z numerem rejestracyjnym samochodu, kodem pocztowym właściciela, numerem telefonu lub adresem e-mail.
Trzeba przyznać, że luka ta już nie istnieje. Co więcej, producent samochodów naprawił lukę dla atakujących w mniej niż 24 godziny po otrzymaniu powiadomienia o niej. Według Sama Curry' ego problemem nie jest jednak tylko to, że nieupoważnione osoby mogą uzyskać dostęp do samochodów, ale to, że praktycznie każdy pracownik producenta pojazdów ma pełny dostęp do poufnych informacji użytkowników. Prawdopodobnie nie dotyczy to tylko Subaru, ale całej branży motoryzacyjnej.
Źródło: Wired
