Doi hackeri dezvăluie deficiențe grave de securitate la Subaru, care le permit să pornească mașinile de la distanță

Doi hackeri au dezvăluit modul în care au preluat controlul de la distanță asupra unui Subaru Impreza, din cauza unei grave deficiențe de securitate în sistemul de infotainment al Subaru, conectat Starlink, relatează TechRadar.

Sam Curry și Shubham Shah (acesta din urmă lucra de la distanță) au reușit să profite de vulnerabilitățile unui portal web Subaru care le-a permis celor doi să preia controlul asupra vehiculului mamei lui Curry, inclusiv posibilitatea de a debloca mașina, de a claxona și de a porni contactul cu orice smartphone sau computer ales de ei, potrivit Wired.

Curry și-a dezvăluit tacticile într-un videoclip și într-o lungă postare pe blog, în care a detaliat modul în care a reușit să intre pe portalul web menționat și să deturneze contul unui angajat Subaru prin simpla resetare a unei parole, ceea ce i-ar fi permis apoi să acceseze de la distanță milioane de vehicule Subaru cu numele, numărul de înmatriculare sau codul poștal al unui client.

Hackerul susține că a fost posibil să recupereze istoricul locațiilor de cel puțin un an de la mașina mamei sale, inclusiv detalii cartografiate cu exactitate ale locurilor în care a fost, până la locul exact în care a parcat mama sa de fiecare dată când mergea la biserică.

Subaru susține că, odată ce cei doi au notificat compania, aceasta s-a apucat să remedieze vulnerabilitatea din portalul pentru angajați, adăugând totodată că este important pentru companie să colecteze date de localizare pentru a-și ajuta angajații să intervină în situații de urgență și pentru a urmări vehiculele furate.

Cu toate acestea, Curry și întreaga comunitate de hackeri susțin că nu este nevoie ca producătorii să colecteze date de localizare a clienților pe parcursul mai multor ani. Mai mult, el crede că acest tip de vulnerabilități web nu sunt limitate doar la Subaru – bug-uri la fel de grave există în instrumentele web ale Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota și multe altele.

La începutul acestei săptămâni, cercetătorii în securitate de la Kaspersky au publicat un raport care dezvăluia cum echipa a găsit 13 vulnerabilități în prima generație a sistemului de infotainment Mercedes-Benz User Experience (MBUX).

Aceste defecte ar permite hackerilor să fure date și să dezactiveze protecțiile antifurt în cazul în care ar avea acces fizic la vehicul. Mercedes-Benz a declarat că a fost la curent cu descoperirile Kaspersky încă din 2022 și că vulnerabilitățile au fost reparate.

În plus, compania germană a subliniat că unitatea principală a sistemului său de infotainment a trebuit să fie îndepărtată și deschisă pentru a avea loc o spargere reușită – ceea ce o face mai puțin îngrijorătoare decât problemele găsite la vehiculele Subaru.

Acestea fiind spuse, multe persoane din interiorul industriei și experți în securitate cibernetică au avertizat de mult timp că mașinile moderne conectate la web reprezintă un risc serios de securitate, Mozilla mergând atât de departe încât să spună că „mașinile moderne sunt un coșmar în materie de confidențialitate”, într-un raport publicat în 2023.

Mozilla a constatat că multe mașini colectează mai multe date decât este necesar, făcând aproape imposibil pentru utilizatori să renunțe la colectare, iar apoi continuă să vândă aceste informații unor terțe părți fără ca utilizatorul să știe.

Pe lângă faptul că reprezintă o încălcare masivă a vieții private, vehiculele echipate cu camere, microfoane și o conexiune constantă la internet oferă acum o multitudine de modalități prin care potențialii hackeri pot obține acces de la distanță.

Producătorii de automobile sunt în mod clar conștienți de acest lucru și mulți au creat divizii de software independente pentru a face față amenințării, dar este clar că mai este mult de lucru.