Уязвимость в системе Starlink Subaru позволяет хакерам контролировать автомобили на расстоянии
Известные этичные хакеры Сэм Карри и Шубхам Шах обнаружили критическую уязвимость в системе Starlink компании Subaru, которая позволяла злоумышленникам удаленно управлять автомобилями в США, Канаде и Японии.
Уязвимость, обнаруженная в ноябре 2024 года, была вызвана ошибками безопасности на веб-портале SubaruCS.com, предназначенном для сотрудников компании. Карри и Шах смогли восстановить пароли сотрудников, используя их электронные адреса и обойдя проверку контрольных вопросов.
Получив доступ к учетным записям разработчиков Starlink, исследователи смогли найти любого владельца Subaru по различным данным, включая номерной знак. Через систему Starlink они получили возможность управлять функциями автомобиля, такими как разблокировка дверей, включение сигнализации и зажигания.
Более того, уязвимость предоставляла доступ к истории перемещений автомобилей, иногда за целый год, точно отмечая их местоположение. Карри, протестировавший систему на машине своей матери, был обеспокоен уровнем детализации данных, позволявших отслеживать ее ежедневные поездки.
Хакеры могли определить местонахождение и разблокировать автомобиль, увеличивая риск его угона. Хотя для полной кражи требовалось отключить иммобилайзер, доступ к такой информации вызывал серьезные опасения.
Карри выразил обеспокоенность политикой Subaru в отношении сбора и хранения данных о местоположении автомобилей, подчеркнув недостаточную защиту конфиденциальности водителей.
Subaru подтвердила устранение уязвимости в ноябре 2024 года, но не раскрыла подробностей о том, как она обрабатывает данные о местоположении.
Эксперты отмечают, что подобным уязвимостям подвержены автомобили всех производителей, подключенные к дилерским центрам. Владельцам автомобилей Subaru в России эта проблема не грозит, поскольку они отключены от телеметрии и сервисов.
Уязвимость, обнаруженная в ноябре 2024 года, была вызвана ошибками безопасности на веб-портале SubaruCS.com, предназначенном для сотрудников компании. Карри и Шах смогли восстановить пароли сотрудников, используя их электронные адреса и обойдя проверку контрольных вопросов.
Получив доступ к учетным записям разработчиков Starlink, исследователи смогли найти любого владельца Subaru по различным данным, включая номерной знак. Через систему Starlink они получили возможность управлять функциями автомобиля, такими как разблокировка дверей, включение сигнализации и зажигания.
Более того, уязвимость предоставляла доступ к истории перемещений автомобилей, иногда за целый год, точно отмечая их местоположение. Карри, протестировавший систему на машине своей матери, был обеспокоен уровнем детализации данных, позволявших отслеживать ее ежедневные поездки.
Хакеры могли определить местонахождение и разблокировать автомобиль, увеличивая риск его угона. Хотя для полной кражи требовалось отключить иммобилайзер, доступ к такой информации вызывал серьезные опасения.
Карри выразил обеспокоенность политикой Subaru в отношении сбора и хранения данных о местоположении автомобилей, подчеркнув недостаточную защиту конфиденциальности водителей.
Subaru подтвердила устранение уязвимости в ноябре 2024 года, но не раскрыла подробностей о том, как она обрабатывает данные о местоположении.
Эксперты отмечают, что подобным уязвимостям подвержены автомобили всех производителей, подключенные к дилерским центрам. Владельцам автомобилей Subaru в России эта проблема не грозит, поскольку они отключены от телеметрии и сервисов.
Ссылки по теме:
