Уразливість сервісів Subaru давала змогу хакерам розблокувати автомобілі та відстежувати історію пересувань водіїв
Наприкінці минулого року дослідники виявили серйозну вразливість безпеки внутрішнього веб-сервісу Subaru та автомобільної системи Subaru Starlink. Вона відкрила повний доступ до особистих даних клієнтів компанії, включно з історією місцеположень, контактами для екстрених випадків, історією викликів і багато іншого.
Що відомо
Дослідники з кібербезпеки Сем Каррі (Sam Curry) і Шубхам Шах (Shubham Shah) виявили вразливість у листопаді 2024 року, досліджуючи Subaru Impreza 2023 року матері Каррі, який він купив роком раніше. У коментарі Wired Каррі розповів, що отримав доступ щонайменше до річної історії точних місць розташування автомобіля та іншої конфіденційної інформації.
Дослідники змогли авторизуватися на веб-сайті Subaru під зламаним обліковим записом співробітника компанії. Це дало їм можливість узяти під контроль функції Starlink автомобілів та отримати доступ до величезної кількості персональних даних, включно з ім'ям клієнта, екстреними контактами, історією викликів, домашньою адресою і навіть PIN-кодом автомобіля. Вони також могли віддалено розблокувати автомобіль і запустити його. Усе, що їм було потрібно, це прізвище жертви разом із номерним знаком автомобіля, поштовий індекс власника, номер телефону або адреса електронної пошти.
До честі Subaru, ця вразливість більше не існує. Ба більше, автовиробник усунув лазівку для зловмисників менш ніж за 24 години після того, як отримав повідомлення про неї. Однак, на думку Сема Каррі, проблема полягає не лише в тому, що сторонні особи можуть отримати доступ до автомобілів, а й у тому, що практично будь-які співробітники компанії-виробника транспортного засобу мають повний доступ до конфіденційної інформації користувачів. Ймовірно, це стосується не лише Subaru, а й автомобільної галузі загалом.
Джерело: Wired
