Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Уязвимость в Subaru Starlink может позволить хакерам угонять автомобили в США и Канаде

5
1 мин
Специалисты по кибербезопасности выявили серьёзный пробел в системе Starlink от Subaru, который предоставляет злоумышленникам возможность отслеживать, управлять и угонять автомобили в США, Канаде и Японии. Исследователь Сэм Карри сообщил, что проблема была зафиксирована 20 ноября 2024 года совместно с другим экспертом, Шубхамом Шахом. По данным аналитиков, уязвимость обеспечивала злоумышленникам неограниченный доступ к аккаунтам и транспортным средствам пользователей в указанных странах. Для эксплуатации было достаточно знать фамилию владельца, почтовый индекс, электронную почту, телефонный номер или регистрационный знак автомобиля. Выяснилось, что потенциальный атакующий, используя этот недостаток, мог: Сэм Карри, описывая детали обнаруженного пробела, также продемонстрировал видео, где показано, как за считанные секунды возможно получить данные о местоположении автомобиля Subaru за прошедший год. Причиной уязвимости, по его словам, стал недостаток в административном портале Subaru St
Изображение: sgcdesignco (unsplash)
Изображение: sgcdesignco (unsplash)

Специалисты по кибербезопасности выявили серьёзный пробел в системе Starlink от Subaru, который предоставляет злоумышленникам возможность отслеживать, управлять и угонять автомобили в США, Канаде и Японии. Исследователь Сэм Карри сообщил, что проблема была зафиксирована 20 ноября 2024 года совместно с другим экспертом, Шубхамом Шахом.

По данным аналитиков, уязвимость обеспечивала злоумышленникам неограниченный доступ к аккаунтам и транспортным средствам пользователей в указанных странах. Для эксплуатации было достаточно знать фамилию владельца, почтовый индекс, электронную почту, телефонный номер или регистрационный знак автомобиля.

Выяснилось, что потенциальный атакующий, используя этот недостаток, мог:

  • Дистанционно запускать и глушить двигатель, блокировать и разблокировать двери, а также определять текущее местоположение любого автомобиля;
  • Извлекать данные о перемещениях за последний год с точностью до пяти метров, обновляющиеся при каждом включении двигателя;
  • Получать персональные данные клиентов, включая контакты экстренных служб, адреса, платёжные реквизиты (частичные данные о кредитных картах) и PIN-коды;
  • Получать доступ к различной информации об автомобиле, включая историю звонков в службу поддержки, предыдущих владельцев, показания одометра и сведения о продажах.

Сэм Карри, описывая детали обнаруженного пробела, также продемонстрировал видео, где показано, как за считанные секунды возможно получить данные о местоположении автомобиля Subaru за прошедший год.

Причиной уязвимости, по его словам, стал недостаток в административном портале Subaru Starlink. Ошибка была связана с использованием API-эндпоинта «resetPassword.json», позволявшего сбрасывать настройки аккаунтов с использованием корректного адреса электронной почты без необходимости подтверждения через токен.

Оригинал публикации на сайте CISOCLUB: "Уязвимость в Subaru Starlink может позволить хакерам угонять автомобили в США и Канаде".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.