Компания Subaru оставила открытым пробел в системе безопасности, который, хотя и был исправлен, обнажает многочисленные проблемы конфиденциальности современных автомобилей. Исследователи безопасности Сэм Карри и Шубхам Шах сообщили о своих выводах (через Wired) о легко взламываемом веб-портале сотрудников. Получив доступ, они смогли удаленно управлять тестовым автомобилем и просматривать данные о местоположении за год. Они предупреждают, что Subaru далеко не одинока в том, что касается слабой безопасности данных об автомобилях.
После того как аналитики уведомили Subaru, компания быстро исправила уязвимость. К счастью, по словам исследователей, менее этичные хакеры не смогли взломать ее до этого момента. Но, по их словам, авторизованные сотрудники Subaru все еще могут получить доступ к истории местоположения владельцев автомобилей, используя только одну часть следующей информации: фамилию владельца, почтовый индекс, адрес электронной почты, номер телефона или номерной знак.
Взломанный портал администратора был частью набора функций связи Starlink от Subaru. (Карри и Шах получили доступ к нему, найдя адрес электронной почты сотрудника Subaru Starlink в LinkedIn и сбросив его пароль, обойдя два обязательных вопроса безопасности, поскольку это происходило в браузере конечного пользователя, а не на серверах Subaru. Они также обошли двухфакторную аутентификацию, сделав «самое простое, что мы могли придумать: удалив накладку на стороне клиента из пользовательского интерфейса».
Хотя исследователи отследили местоположение тестового автомобиля за год, они не исключают, что уполномоченные сотрудники Subaru могут проследить еще дальше. Это связано с тем, что тестовый автомобиль (Subaru Impreza 2023 года выпуска, купленный Карри для своей матери с условием, что он сможет его взломать) находился в эксплуатации примерно столько же времени. Данные о местоположении также не были обобщены на какую-то широкую полосу земли: Они были точны менее чем до 17 футов и обновлялись при каждом запуске двигателя.
«После поиска и обнаружения собственного автомобиля на приборной панели я подтвердил, что административная панель Starlink должна иметь доступ практически к любому Subaru в США, Канаде и Японии», - написал Карри. «Мы хотели убедиться, что ничего не упустили, поэтому связались с подругой и спросили, можем ли мы взломать ее машину, чтобы продемонстрировать, что нет никаких предварительных условий или функций, которые могли бы предотвратить полный захват автомобиля. Она прислала нам свой номерной знак, мы нашли ее автомобиль в панели администратора и, наконец, добавили себя в ее машину».
Помимо отслеживания местоположения, административный портал позволял исследователям удаленно запускать, останавливать, блокировать и разблокировать любой подключенный к Starlink автомобиль Subaru. По их словам, мать Карри никогда не получала уведомлений о том, что они добавили себя в качестве авторизованных пользователей, и не получала предупреждений о том, что они разблокировали ее машину.
Они также могли запрашивать и получать личную информацию о любом клиенте, включая его контакты для экстренной помощи, авторизованных пользователей, домашний адрес, последние четыре цифры кредитной карты и PIN-код автомобиля. Кроме того, они могли получить доступ к истории обращений владельца в службу поддержки, а также к информации о предыдущих владельцах автомобиля, показаниях одометра и истории продаж.
В своем заявлении для Engadget директор по коммуникациям Subaru Доминик Инфанте написал: «Компания Subaru of America, Inc. была уведомлена независимыми исследователями безопасности об уязвимости в сервисе Starlink, которая потенциально могла позволить сторонним лицам получить доступ к учетным записям Starlink. Subaru устранила уязвимость в тот же день, и ни один автомобиль Subaru или данные клиентов не получили несанкционированного доступа. Независимые исследователи смогли получить доступ к двум учетным записям, принадлежащим члену семьи и другу, которые предоставили им соответствующую авторизацию».
Subaru также подчеркнула, что ее автомобилями нельзя управлять дистанционно и что компания не продает данные о местоположении. Она также заявила, что только определенные сотрудники могут получить доступ к данным о местонахождении водителя в зависимости от должности.
Исследователи безопасности говорят, что сбои в системе отслеживания и безопасности, связанные с возможностью одного сотрудника получить доступ к «тонне личной информации», вряд ли уникальны для Subaru. Wired отмечает, что предыдущая работа Карри и Шаха выявила аналогичные недостатки в автомобилях Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota и других.
Пара считает, что есть основания для серьезного беспокойства по поводу отслеживания местоположения и слабых мер безопасности в этой отрасли. «Автомобильная промышленность уникальна тем, что 18-летний сотрудник из Техаса может запросить информацию о биллинге автомобиля в Калифорнии, и это не вызовет никаких тревог», - пишет Карри. «Это часть их обычной повседневной работы. Все сотрудники имеют доступ к огромному количеству личной информации, и все это основано на доверии. Кажется, очень сложно обеспечить безопасность этих систем, когда такой широкий доступ встроен в систему по умолчанию».
Оригинал
Уникальность