„Subaru“ paliko atvirą saugumo trūkumą, kuris, nors ir pataisytas, atskleidžia daugybę šiuolaikinių transporto priemonių privatumo problemų. Saugumo tyrinėtojai Samas Curry ir Shubham Shah pranešė jų išvados (per Laidinis) apie lengvai įsilaužtą darbuotojų interneto portalą. Gavę prieigą, jie galėjo nuotoliniu būdu valdyti bandomąją transporto priemonę ir peržiūrėti metų vietos duomenis. Jie perspėja, kad „Subaru“ toli gražu nėra vienintelis, užtikrinantis aiškų transporto priemonių duomenų saugumą.
Po to, kai saugumo analitikai pranešė „Subaru“, bendrovė greitai pataisė išnaudojimą. Laimei, mokslininkai teigia, kad mažiau nei etiški įsilaužėliai iki tol jo nepažeidė. Tačiau jie teigia, kad įgalioti „Subaru“ darbuotojai vis tiek gali pasiekti savininkų vietovių istoriją turėdami tik vieną šios informacijos dalį: savininko pavardę, pašto kodą, el. pašto adresą, telefono numerį arba valstybinį numerį.
„Engadget“ atsiuntė „Subaru“ el. laišką, kad galėtų pakomentuoti, ir mes atnaujinsime šią istoriją, jei išgirsime.
Įsilaužęs administratoriaus portalas buvo „Subaru“ „Starlink“ ryšio funkcijų rinkinio dalis. (Jokio ryšio su SpaceX palydovinio interneto paslauga to paties pavadinimo.) Curry ir Shah pateko į „LinkedIn“ suradę „Subaru Starlink“ darbuotojo el. pašto adresą ir iš naujo nustatę darbuotojo slaptažodį, apeinant du būtinus saugos klausimus – nes tai įvyko galutinio vartotojo žiniatinklio naršyklėje, o ne „Subaru“ serveriuose. Jie taip pat apeidavo dviejų veiksnių autentifikavimą atlikdami „paprasčiausią dalyką, apie kurį galėjome galvoti: pašalindami kliento pusės perdangą iš vartotojo sąsajos“.
Nors tyrėjų bandymai atskleidė bandomosios transporto priemonės buvimo vietą vienerius metus, jie negali atmesti galimybės, kad įgalioti „Subaru“ darbuotojai gali nušliaužti dar toliau. Taip yra todėl, kad bandomasis automobilis (2023 m Subaru Impreza Curry nupirko savo motinai su sąlyga, kad gali jį nulaužti) buvo naudojamas tik maždaug tiek laiko. Vietos duomenys taip pat nebuvo apibendrinti tam tikram plačiam žemės plotui: jų tikslumas buvo mažesnis nei 17 pėdų ir atnaujinamas kiekvieną kartą, kai užvedė variklis.
„Išieškojęs ir radęs savo transporto priemonę prietaisų skydelyje, patvirtinau, kad „Starlink“ administratoriaus prietaisų skydelis turėtų turėti prieigą prie beveik bet kurio „Subaru“ JAV, Kanadoje ir Japonijoje“, – rašė Curry. „Norėjome patvirtinti, kad mums nieko netrūksta, todėl susisiekėme su drauge ir paklausėme, ar galėtume nulaužti jos automobilį, kad parodytume, jog nėra jokios būtinos sąlygos ar funkcijos, kuri iš tikrųjų būtų sutrukdžiusi visiškai perimti automobilį. Ji atsiuntė mums savo valstybinį numerį, mes patraukėme jos automobilį administratoriaus skydelyje, tada galiausiai prisidėjome prie jos automobilio.
Be jų buvimo vietos stebėjimo, administratoriaus portalas tyrėjams leido nuotoliniu būdu užvesti, sustabdyti, užrakinti ir atrakinti bet kurią „Starlink“ prijungtą „Subaru“ transporto priemonę. Jie teigė, kad Curry motina niekada negavo pranešimų, kad jie prisidėjo prie įgaliotų naudotojų, taip pat negavo įspėjimų, kai jie atrakino jos automobilį.
Jie taip pat galėtų pateikti užklausą ir gauti bet kurio kliento asmeninę informaciją, įskaitant jų skubios pagalbos kontaktus, įgaliotus vartotojus, namų adresą, paskutinius keturis kredito kortelės skaitmenis ir transporto priemonės PIN kodą. Be to, jie galėjo pasiekti savininko pagalbos skambučių istoriją ir ankstesnius transporto priemonės savininkus, odometro rodmenis ir pardavimo istoriją.
Saugumo tyrinėtojai teigia, kad sekimo ir saugumo gedimai, atsirandantys dėl vieno darbuotojo galimybės pasiekti „daugybę asmeninės informacijos“, vargu ar būdingi „Subaru“. Laidinis pažymi, kad ankstesni Curry ir Shah darbai atskleidė panašius trūkumus, turinčius įtakos Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota ir kt.
Pora mano, kad yra pagrindo rimtai susirūpinti dėl pramonės vietos nustatymo ir prastų saugumo priemonių. „Automobilių pramonė yra unikali tuo, kad 18-metis darbuotojas iš Teksaso gali teirautis dėl transporto priemonės atsiskaitymo informacijos Kalifornijoje, ir tai tikrai nesukels pavojaus varpelių“, – rašė Curry. „Tai jų įprasto kasdienio darbo dalis. Visi darbuotojai turi prieigą prie daugybės asmeninės informacijos, o viskas priklauso nuo pasitikėjimo. Atrodo tikrai sunku iš tikrųjų apsaugoti šias sistemas, kai tokia plati prieiga yra integruota į sistemą pagal numatytuosius nustatymus.
The tyrėjų visa ataskaita verta perskaityti.
