Изследователите в областта на киберсигурността Сам Къри и Шубхам Шах са открили уязвимости в информационно-развлекателната система Starlink на Subaru (която не е свързана с SpaceX), които позволяват частично прихващане на управлението и проследяването на автомобила.
Експертите са успели да проникнат в системата Starlink чрез уеб портала на Subaru. Повтаряйки действията им, потенциален нападател получава възможност да отвори автомобила, да натисне клаксона, да запали двигателя, както и да пренасочи тези функции към всеки телефон или компютър.
Установено е също, че системата има възможност да проследява местоположението на автомобилите на Subaru – не само къде се намират в момента, но и историята на тяхното движение. Хакерската атака била извършена върху автомобил, принадлежащ на майката на Къри – той видял в системата всички нейни пътувания. Уязвимостта, открита от експертите е валидна за системите Subaru Starlink в САЩ, Канада и Япония.
Експертите идентифицираха името на домейна на сайт, чрез който се осъществява дистанционно управление на функциите на превозното средство. След като проучили този сайт, те открили начин да получат административни привилегии в него – те взели имейл адреса на служител и нулирали паролата му. За тази цел системата поискала от потребителя да отговори на два въпроса за сигурност, но те се проверявали от локален скрипт в браузъра на потребителя, а не на сървъра на Subaru и не било трудно тази защита да бъде заобиколена.
Те намерили имейл адреса на разработчик на Subaru Starlink в LinkedIn, хакнали профила му в административния портал и открили, че той има достъп до възможност за търсене на всеки собственик на автомобил Subaru по име, пощенски код, имейл адрес, телефонен номер или регистрационен номер – намирането на правилния автомобил им дало достъп до конфигурацията на Starlink.
В края на ноември миналата година изследователите съобщили за своите открития на Subaru и производителят на автомобили предприе бързи действия за отстраняване на уязвимостите.
Това решило проблема със сигурността, но оставило проблем с неприкосновеността на личния живот: въпреки, че потенциалните нападатели вече нямат възможност да прихващат функциите за управление на автомобила и да четат историята на движението му, служителите на Subaru все още могат да правят всички тези неща. Компанията потвърди, че служителите ѝ наистина имат достъп до всички тези функции, но увери, че те са надлежно обучени и подписват споразумения за неразкриване на информация. На практика се предполага, че те имат достъп до местоположението на автомобила, за да го съобщят на службите за спешна помощ, ако системата засече произшествие.
Фактът, че Subaru следи движението на автомобили собствено производство показва, че в цялата автомобилна индустрия вече няма гаранции за неприкосновеност на личния живот, посочва Къри. Така както се предполага, че служител на Google не може да чете кореспонденцията на потребителите на Gmail, в Subaru историята на движението на автомобилите е достъпна за служителите на компанията. По-рано стана известно, че същите данни за автомобилите на VW Group са били публично достояние поради действията на компанията Cariad, която е част от концерна.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
