A Subaru nyitva hagyott egy tátongó biztonsági hibát, amely, bár kijavították, leleplezi a modern járművek számtalan adatvédelmi problémáját. Sam Curry és Shubham Shah biztonsági kutatók (a Wireden keresztül) számoltak be megállapításaikról egy könnyen feltörhető alkalmazotti internetes portálról. Miután megszerezték a hozzáférést, távolról irányíthattak egy tesztjárművet, és megtekinthették egy év helyadatait. Figyelmeztetnek, hogy a Subaru korántsem egyedül a járművek adatainak laza biztonságával.
Miután a biztonsági elemzők értesítették a Subarut, a vállalat gyorsan befoltozta a kizsákmányolást. Szerencsére a kutatók azt mondják, hogy kevésbé etikus hackerek korábban nem sértették meg. Azt mondják azonban, hogy a felhatalmazott Subaru alkalmazottak továbbra is hozzáférhetnek a tulajdonosok helyelőzményeihez a következő adatok egyetlen darabjával: a tulajdonos vezetékneve, irányítószáma, e-mail címe, telefonszáma vagy rendszáma.
Az Engadget e-mailt küldött a Subarunak megjegyzésért, és frissítjük ezt a történetet, ha visszajelzést kapunk.
A feltört adminisztrációs portál a Subaru Starlink csatlakozási szolgáltatáscsomagjának része volt. (Nincs kapcsolat az azonos nevű SpaceX műholdas internetszolgáltatással.) Curry és Shah úgy jutott be, hogy megtalálta a Subaru Starlink alkalmazott e-mail címét a LinkedIn-en, és két kötelező biztonsági kérdés megkerülése után visszaállította a dolgozó jelszavát – mivel ez a végfelhasználónál történt webböngésző, nem a Subaru szerverei. A kéttényezős hitelesítést is megkerülték azzal, hogy „a legegyszerűbb dolgot, amit csak gondoltunk: eltávolították a kliensoldali fedvényt a felhasználói felületről”.
Bár a kutatók tesztjei egy évre visszamenőleg nyomon követték a tesztjármű helyét, nem zárják ki annak lehetőségét, hogy a Subaru felhatalmazott alkalmazottai még messzebbre is leskelődnek. Ennek az az oka, hogy a tesztautó (egy 2023-as Subaru Impreza Curryt vett az anyjának azzal a feltétellel, hogy fel tudja törni) csak körülbelül ennyi ideje volt használatban. A helyadatokat sem általánosították széles területre: 17 lábnál kisebb pontosságúak voltak, és minden alkalommal frissültek, amikor a motor beindult.
„Miután megkerestem és megtaláltam a saját járművemet a műszerfalon, megerősítettem, hogy a Starlink adminisztrátori műszerfalának nagyjából minden Subaruhoz hozzá kell férnie az Egyesült Államokban, Kanadában és Japánban” – írta Curry. „Meg akartuk győződni arról, hogy nincs semmi hiányunk, ezért megkerestük egy barátunkat, és megkérdeztük, feltörhetjük-e az autóját, hogy bebizonyítsuk, nincs olyan előfeltétel vagy funkció, amely megakadályozta volna a teljes járműátvételt. Elküldte nekünk a rendszámát, felhúztuk a járművét az adminisztrációs panelen, majd végül beültettük magunkat az autójába.”
A helyük nyomon követése mellett az adminisztrációs portál lehetővé tette a kutatók számára, hogy távolról indítsák el, állítsák le, zárják le és oldják fel a Starlink-csatlakozású Subaru járműveket. Azt mondták, Curry anyja soha nem kapott értesítést arról, hogy felvették magukat jogosult felhasználóként, és nem kapott figyelmeztetést sem, amikor kinyitották az autóját.
Ezenkívül lekérdezhetik és lekérhetik bármely ügyfél személyes adatait, beleértve a vészhelyzeti kapcsolattartókat, a jogosult felhasználókat, az otthoni címet, a hitelkártya utolsó négy számjegyét és a jármű PIN-kódját. Ezen kívül hozzáférhettek a tulajdonos ügyfélszolgálati híváslistájához és a jármű korábbi tulajdonosaihoz, a kilométerszámláló állásához és az eladási előzményekhez.
A biztonsági kutatók szerint a nyomon követési és biztonsági hibák – amelyek abból fakadnak, hogy egyetlen alkalmazott hozzá tud férni „egy csomó személyes információhoz” – aligha jellemző a Subarura. A Wired megjegyzi, hogy Curry és Shah korábbi munkái hasonló hibákat tártak fel az Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota és mások járműveiben.
A páros úgy véli, hogy komoly aggodalomra ad okot az iparág helymeghatározása és a rossz biztonsági intézkedések miatt. „Az autóipar egyedülálló abban, hogy egy 18 éves texasi alkalmazott lekérdezheti egy kaliforniai jármű számlázási adatait, és ez nem igazán riaszt el semmilyen vészharangot” – írta Curry. „Ez a mindennapi munkájuk része. Az alkalmazottak rengeteg személyes információhoz férnek hozzá, és az egész a bizalomra épül. Nagyon nehéznek tűnik igazán biztonságossá tenni ezeket a rendszereket, ha ilyen széles hozzáférést alapértelmezés szerint beépítenek a rendszerbe.”
Érdemes elolvasni a kutatók teljes jelentését.
