Недавно исследователи безопасности описали в своем блоге, как с помощью простого метода можно взломать и отслеживать миллионы электромобилей Subaru. По словам исследователей, это решение позволит хакерам удаленно управлять любым транспортным средством в США, Канаде или Японии, подключенным к интернету через Starlink.
Фото: Subaru Все началось, когда исследователь безопасности Сэм Карри обнаружил, что приложение Starlink в автомобиле его матери подключено к домену под названием «SubaruCS.com». Он определил его как сайт, через который сотрудники Subaru получают доступ к данным об автомобилях клиентов.
Затем он и его коллега Шубхам Шах проверили этот сайт на наличие уязвимостей безопасности. Они обнаружили, что могут легко сбросить пароли сотрудников, если угадают их адрес электронной почты. Это дало им возможность завладеть учетной записью любого сотрудника.
Используя адрес электронной почты, который они также нашли в профиле LinkedIn, исследователи смогли быстро получить доступ к учетной записи сотрудника и использовать ее для доступа к системе Starlink каждого автомобиля Subaru. Там также были указаны полные имена, почтовый индекс, номер телефона, адрес электронной почты и номерной знак автомобиля.
Особенно тревожным было то, что им удалось отслеживать точные данные о местоположении в течение целого года. Они могли не только узнать, где живет человек, но и куда он ходит к врачу, где живут его друзья и где находится его рабочее место.
Данные о местоположении автомобиля могли быть получены из-за ошибки безопасности Функция фактически позволяет сотрудникам Subaru получать данные о местоположении. В Subaru сообщили изданию Wired, что это необходимо в определенных случаях, например, чтобы оповестить экстренные службы, если транспортное средство попало в аварию. При этом, соответствующие сотрудники прошли специальную подготовку. Однако этот доступ, возможно, не был реализован оптимально с точки зрения безопасности.
Исследователи уже указывали на уязвимость безопасности Starlink в ноябре. Затем Subaru выпустила обновление. Исследователи предупреждают, что аналогичные уязвимости безопасности существуют и в веб-инструментах других автопроизводителей, но их еще предстоит обнаружить. По словам исследователей в области безопасности, преступники могут воспользоваться такими лазейками, например, чтобы преследовать людей или совершать у них кражи.
Это не первый случай, когда исследователи обнаруживают серьезные уязвимости в системах безопасности автомобилей. Ранее они обнаружили уязвимости у Mercedes-Benz, Hyundai, Nissan и других автогигантов.
Недавно разразился скандал с данными в Volkswagen: были опубликованы подробные данные о местоположении 800 000 электромобилей, которые было легко взломать, как сообщает Der Spiegel.
