Ошибка в программном обеспечении автомобилей Subaru позволяет хакерам получить полный доступ к машинам
По мере того, как автомобильная индустрия становится все более умной и подключенной, растет число уязвимостей в системе безопасности. Новый отчет подробно описывает, насколько уязвимыми могут быть подключенные автомобили.
Исследователь безопасности по имени Сэм Карри (Sam Curry) недавно опубликовал в своем блоге сообщение, в котором подробно описал, как ему и его коллеге (Shubham Shah) удалось скомпрометировать программную систему Starlink, используемую в автомобилях Subaru. Starlink обеспечивает работу информационно-развлекательного центра в автомобилях Subaru и позволяет пользователям дистанционно управлять своими зарегистрированными автомобилями, что может включать дистанционное запирание/отпирание автомобиля и его запуск.
Карри объяснил, что эксплойт на странице входа сотрудников Subaru в систему Starlink позволил ему определить действительный адрес электронной почты сотрудника, изменить его пароль и обойти любую двухфакторную аутентификацию для входа в систему.
Оказавшись в системе Starlink, Карри понял, что может найти любой зарегистрированный автомобиль Subaru по одному из следующих параметров: имя клиента, номер телефона, адрес электронной почты или идентификационный номер автомобиля (VIN). (Обратите внимание, что VIN можно легко найти по номерному знаку.) Как только автомобиль был найден, вся эта информация была готова к использованию. Другая доступная информация включала в себя данные о счетах, контакты в экстренных ситуациях и многое другое.
Не только эти личные данные были легко доступны, но и история местонахождения автомобиля за последний год, которую, по словам Карри, можно было легко скачать и зарисовать. Эти данные о местоположении включали в себя отметку времени, одометр автомобиля и GPS-координаты (с точностью до 15 футов или 5 метров).
Пожалуй, самым тревожным было то, что Карри смог найти в базе данных автомобиль своего друга и добавить к нему свои личные данные в качестве авторизованного пользователя Starlink. После добавления он смог управлять автомобилем дистанционно. Это позволило ему запирать и отпирать автомобиль, дистанционно заводить его и определять его местоположение. Пострадавший пользователь Starlink не получил никакого уведомления о том, что к учетной записи Starlink автомобиля был добавлен другой пользователь.
Судя по всему, Subaru уже исправила уязвимость, которую Карри обнаружил в ноябре 2024 года. К их чести, автопроизводитель выпустил исправление в течение 24 часов после получения сообщения от Карри. Сообщение Карри служит напоминанием о том, что, какими бы умными ни были наши автомобили, они все равно могут быть весьма уязвимы для воров и других злоумышленников.
Источник(и)
