Известный этичный хакер Сэм Карри и исследователь информационной безопасности Шубхам Шах обнаружили уязвимость в системе Starlink компании Subaru, позволявшую злоумышленникам контролировать автомобили в США, Канаде и Японии. Зная лишь номерной знак машины, хакеры могли отслеживать местоположение, разблокировать и даже заводить автомобили.
Об этом сообщает издание "Хакер".Уязвимость, обнаруженная в ноябре 2024 года, возникла из-за проблем безопасности на веб-портале SubaruCS.com, предназначенном для сотрудников компании. Карри и Шах смогли сбросить пароль любого сотрудника, подобрав e-mail и обойдя проверку контрольных вопросов. Получив доступ к аккаунту разработчика Starlink, они смогли найти любого владельца Subaru по различным данным, включая номерной знак.
Через систему Starlink исследователи получали доступ к функциям управления автомобилем, таким как разблокировка дверей, включение сигнализации и зажигания. Более того, уязвимость открывала доступ к истории перемещений автомобилей, иногда за целый год, с высокой точностью фиксируя местоположение. Карри, тестировавший систему на машине своей матери, был встревожен уровнем детализации данных, позволявших отслеживать ее ежедневные маршруты.
Эксперты отметили, что уязвимость увеличивала риск угона, позволяя злоумышленникам определить местоположение и разблокировать автомобиль. Хотя для полного угона требовалось отключение иммобилайзера, сам факт доступа к такой информации вызывает серьезные опасения. Карри выразил обеспокоенность политикой Subaru в отношении сбора и хранения данных о местоположении автомобилей, подчеркнув недостаточную защиту конфиденциальности водителей.
Subaru подтвердила исправление уязвимости в ноябре 2024 года и прокомментировала сбор данных о местоположении, однако детали комментария не раскрываются.
Эксперт группы компаний "Гарда" Лука Сафонов рассказал "Газете.Ru", что вышеперечисленная проблема не угрожает владельцам автомобилей Subaru в России, так так как они "отрезаны от телеметрии и сервисов". Однако он ответил, что потенциально подобным уязвимостям подвержены машины всех производителей, дистанционно связанные с дилерскими центрами.
"Стоит учитывать этот фактор, тем более с учетом, что таких случаев становится все больше. Современные автомобили используют различные дилерские/вендорские сервисы, расположенные в сети интернет: от сигнализаций и трекинга, до обслуживания и обновлений. К сожалению, не все эти сервисы защищены должным образом", – сказал эксперт.
Свежие комментарии