- Naukowcy odkryli poważne luki w systemie STARLINK firmy Subaru, które umożliwiają nieautoryzowany dostęp do poufnych danych i zdalne sterowanie pojazdami.
- Napastnicy mogli uzyskać dostęp do historii lokalizacji na przestrzeni roku, odblokować pojazdy i manipulować takimi funkcjami, jak zapłon i klakson.
- Subaru załatało luki w zabezpieczeniach w ciągu 24 godzin od otrzymania powiadomienia, co daje pewność, że nie odnotowano żadnych złośliwych prób dostępu.
- Branża motoryzacyjna zmaga się z licznymi wyzwaniami w zakresie cyberbezpieczeństwa z powodu słabo zabezpieczonych systemów pojazdów połączonych w sieć.
Najnowsze badania ujawniły poważne luki w zabezpieczeniach systemu łączności STARLINK firmy Subaru, umożliwiając hakerom zdalny dostęp i naruszanie bezpieczeństwa milionów pojazdów w Stanach Zjednoczonych, Kanadzie i Japonii. Te luki w zabezpieczeniach wywołały alarm dotyczący nieodłączne ryzyko z pojazdów połączonych, które gromadzą ogromne ilości danych ilości poufnych danych i polegają na technologii przy obsłudze wielu swoich funkcji.
Badacze Sam Curry i Shubham Shah odkryli, że system Subaru miał wiele braków, które umożliwiały przejąć zdalną kontrolę nad pojazdami i uzyskać dostęp do poufnych informacji, takich jak szczegółowa historia lokalizacji z ostatniego roku. Dodatkowo mogli odblokować drzwi, sterować zapłonem, a nawet modyfikować ustawienia użytkownika. Odkrycie to podkreśla zagrożenia, jakie niesie ze sobą prywatność i bezpieczeństwo związane z digitalizacją samochodów.
W jaki sposób zidentyfikowano luki w zabezpieczeniach?
Analiza rozpoczęła się, gdy Curry postanowił przyjrzeć się systemowi łączności Subaru Impreza z 2023 roku zakupionemu dla swojej matki. Podczas śledztwa on i jego partner odkryli, że portal administracyjny dla pracowników Subaru zawierał poważne luki w zabezpieczeniach. Portal umożliwił resetowanie haseł bez potwierdzenia, po prostu znając adres e-mail pracownika. Ponadto pytania bezpieczeństwa były weryfikowane lokalnie w przeglądarce użytkownika, a nie na serwerach Subaru, co ułatwiało ominięcie tej warstwy zabezpieczeń.
Po uzyskaniu dostępu do konta pracownika badacze wykazali, że mogą wyszukiwać pojazdy, korzystając z podstawowych danych, takich jak nazwisko, kod pocztowy, adres e-mail, numer telefonu lub numer rejestracyjny. Stamtąd mogliby manipulować funkcjami pojazdu, uzyskaj dostęp do historii swojej lokalizacjii uzyskać od właściciela dane osobowe, w tym adresy, kontakty alarmowe i częściowe szczegóły dotyczące rozliczeń.
Wpływ luk w zabezpieczeniach
Ryzyko związane z tą awarią jest znaczne. Dostępne dane obejmowały:
- Pełny rok historii lokalizacji, z dokładnymi współrzędnymi aktualizowanymi przy każdym uruchomieniu samochodu.
- Dane osobowe, takie jak imiona, nazwiska, adresy, kontakty alarmowe i częściowe dane bankowe.
- Funkcje pojazdu takie jak: otwieranie drzwi, zdalny zapłon i aktywacja klaksonu.
Te luki nie tylko stwarzają ryzyko Prywatność właścicieli, ale otworzyło możliwości kradzież, nękanie, a nawet sabotaż pojazdów. Naukowcy podkreślili, że naruszenia te ujawniają niepokojące perspektywy dotyczące cyberbezpieczeństwa w branży motoryzacyjnej jako całości.
Odpowiedź Subaru
Subaru zostało powiadomione o tych lukach w listopadzie 2024 r. Na jego korzyść przemawia fakt, że firma zareagowała szybko, łatanie systemu w czasie krótszym niż 24 godziny po otrzymaniu informacji. Rzecznik Subaru powiedział: „Do żadnych informacji o klientach nie uzyskano dostępu bez autoryzacji” i że systemy zostały ulepszone dzięki ciągłe monitorowanie aby zapobiec przyszłym zagrożeniom.
Jednak badacze zauważyli, że pomimo poprawek pracownicy Subaru nadal mają dostęp do funkcji, która umożliwia im przeglądanie historii lokalizacji w celach służbowych, co budzi pytania długoterminowe obawy dotyczące prywatności.
Powszechny problem w branży
Według śledczych przypadek Subaru nie jest odosobniony. Podobne luki wykryto w pojazdach innych marek, w tym Acura, Honda, Hyundai i Toyota. Ten Brak solidności systemów ochrony danych Jest to powtarzający się problem w branży, w której producenci często stawiają funkcjonalność ponad bezpieczeństwo.
Raport Mozilli z 2023 r. określił nowoczesne samochody mianem „koszmaru prywatności”, podkreślając, że 92% producentów nie daje użytkownikom żadnej kontroli nad ich pojazdami. Zebrane dane a 84% zastrzega sobie prawo do udostępniania lub sprzedaży takich informacji. Ten poziom narażenia podkreśla pilna potrzeba bardziej rygorystycznych przepisów i standardów cyberbezpieczeństwa w sektorze motoryzacyjnym.
Na swoim blogu Curry podkreślił, że systemy umożliwiające pracownikom dostęp do poufnych informacji bez odpowiednich ograniczeń są podatne na ataki. „Branża motoryzacyjna opiera się w dużej mierze na zaufaniu, ale brakuje jej niezbędnych zabezpieczeń chroniących dane konsumentów”skomentował.
Incydent ten podkreśla znaczenie wdrożenia solidnych środków bezpieczeństwa i służy również jako przypomnienie użytkownikom, aby byli świadomi ryzyka związane z łącznością w samochodach.