Subaru pozostawiło lukę w zabezpieczeniach obnażającą problem z prywatnością w samochodach
W grudniu wiele się mówiło o danych dotyczących około 800 tysięcy samochodów elektrycznych (oraz ich właścicieli), które omyłkowo trafiły do sieci udostępnione przez spółkę zależną koncernu Volkswagen, VW Cariad. Teraz mówi się o luce w zabezpieczeniach odkrytej w Subaru. Ta, choć co prawda już naprawiona, to rodzi kolejne pytania o prywatność właścicieli samochodów.
W Subaru hakerzy po zhakowaniu portalu internetowego dla pracowników, byli w stanie m.in. zdalnie sterować pojazdem testowym i przeglądać dane o lokalizacji z całego roku. Okazuje się zatem, że wielu producentów nie pochyla się wystarczajaco nad kwestią zabezpieczenia danych pojazdu.
Badacze ds. bezpieczeństwa Sam Curry i Shubham Shah w swoich publikacjach poinformowali, że zhakowany portal administracyjny był częścią pakietu funkcji łączności Starlink marki. Dostali się do środka, znajdując adres e-mail pracownikamarki na LinkedIn i resetując hasło pracownika. Udało się to po ominięciu dwóch wymaganych pytań bezpieczeństwa. Badacze ominęli również uwierzytelnianie dwuskładnikowe, wykonując „najprostszą rzecz, jaką mogliśmy wymyślić: usunięcie nakładki po stronie klienta z interfejsu użytkownika”. Po zgłoszeniu tego faktu Subaru załatało lukę w zabezpieczeniach.
Błędy pozwalające na śledzenie i luki bezpieczeństwa to problem wielu marek
Jednak według obu badaczy, upoważnieni pracownicy Subaru nadal mogą uzyskać dostęp do historii lokalizacji właścicieli. Wystarczy, że mają tylko jeden element z następujących informacji: nazwisko właściciela, kod pocztowy, adres e-mail, numer telefonu lub numer rejestracyjny. Chociaż testy badaczy pozwoliły ustalić lokalizację pojazdu testowego rok wstecz, nie można wykluczyć możliwości, że upoważnieni pracownicy Subaru mogą węszyć jeszcze dalej.
Takie stwierdzenie było możliwe dzięki temu, że za samochód testowy posłużyło Subaru Impreza matki jednego badaczy. Użytkowany przez mniej więcej rok. Dane dotyczące lokalizacji były aktualizowane za każdym razem, gdy uruchamiano silnik.
„Po przeszukaniu i znalezieniu własnego pojazdu na portalu potwierdziłem, że panel administracyjny Starlink powinien mieć dostęp do praktycznie każdego Subaru w Stanach Zjednoczonych, Kanadzie i Japonii” — napisał Curry. „Chcieliśmy potwierdzić, że niczego nam nie brakuje, więc skontaktowaliśmy się z przyjaciółką i zapytaliśmy, czy możemy zhakować jej samochód, aby pokazać, że nie ma żadnych wymagań wstępnych ani funkcji, które faktycznie zapobiegłyby całkowitemu przejęciu pojazdu. Wysłała nam swój numer rejestracyjny, wybraliśmy jej pojazd w panelu administracyjnym, a następnie dodaliśmy siebie do jej samochodu”.
Zhakowanie samochodu wyposażonego w najnowsze technologie to problem, który dotyczy wszystkich producentów samochodów. Zanim Subaru udało się załatać dziury w systemie, możliwe było zdalne uruchamianie, zatrzymywanie, blokowanie i odblokowywanie dowolnego pojazdu Subaru podłączonego do Starlink. Kwestia bezpieczeństwa pojazdów była już poruszana m.in. po głośnym filmie „Zostaw świat za sobą”. Dziś wiemy, że nie jest to problem jedynie Tesli, VW czy Subaru.
Subaru wydało oświadczenie w sprawie zhakowanego portalu administracyjnego wchodzącego w pakiet funkcji łączności Starlink
Fakt, że po dodaniu w Subaru nowych autoryzowanych użytkowników i odblokowaniu samochodu właściciel nie otrzymał alertu, jest niepokojący. Tak samo, jak informacja o tym, że obaj specjaliści mogli również wyszukiwać i pobierać dane osobowe każdego klienta, w tym:
– kontakty alarmowe,
– autoryzowanych użytkowników,
– adres domowy,
– ostatnie cztery cyfry karty kredytowej i kod PIN pojazdu.
Dodatkowo mogli uzyskać dostęp do historii połączeń pomocy technicznej właściciela i poprzednich właścicieli pojazdu, odczytu licznika kilometrów i historii pojazdu.
W oświadczeniu dla Engadget, dyrektor ds. komunikacji Subaru Dominick Infante napisał:
„Subaru of America, Inc. zostało powiadomione przez niezależnych badaczy bezpieczeństwa o luce w zabezpieczeniach usługi Starlink, która potencjalnie umożliwiała osobom trzecim dostęp do kont Starlink. Subaru załatało lukę tego samego dnia i nigdy nie uzyskano dostępu do żadnych pojazdów Subaru ani danych klientów bez autoryzacji. Niezależni badacze byli w stanie uzyskać dostęp do dwóch kont należących do członka rodziny i znajomego, który udzielił im autoryzacji”.
Subaru podkreśliło również, że jego samochody nie mogą być prowadzone zdalnie i że firma nie sprzedaje danych o lokalizacji. Potwierdzono, że tylko niektórzy pracownicy mogą uzyskać dostęp do danych o lokalizacji kierowcy adekwatnie do zajmowanego stanowiska.
Wired zauważa, że poprzednie prace Curry’ego i Shaha ujawniły podobne „wady” w zabezpieczeniach pojazdów marek: Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota i innych. Kwestia bezpieczeństwa samochodów musi zatem sięgać głębiej, niż systemy eliminujące skutki kolizji i zabepieczające przed nimi.
Pełen raport badaczy jest dostępny TUTAJ.
Używane
Nowości
