Drošības pētnieki ir atklājuši ievērojamas ievainojamības Subaru StarLink sistēmā, kas varēja ļaut hakeriem izsekot transportlīdzekļu vietām pēdējā gada laikā un kontrolēt noteiktas funkcijas no attāluma. Lai arī trūkumi ir izlaboti, atklājums rada nopietnas bažas par savienoto transportlīdzekļu privātumu, un piekļuves automašīnu uzņēmumi piešķir darbiniekus sensitīviem klientu datiem.
Viss sākās, kad drošības pētnieks Sems Karijs nopirka mātei Subaru. Karija, kas pazīstama ar savienotu sistēmu zondēšanu, noslēdza vienošanos ar savu mammu: viņa ļāva viņam kādā brīdī uzlauzt automašīnu. Pagājušā gada novembrī viņš beidzot ķērās pie 2023. gada Subaru Impreza ar internetu savienotajām funkcijām. Ar citu pētnieka Šubhema Šaha palīdzību nebija vajadzīgs ilgs laiks, lai atklātu nepilnības Subaru tīmekļa portālā, saskaņā ar ARS Technica teikto, kas minēja Wired par pirmo, kurš ziņoja par stāstu.
Pāris atklāja ievainojamības, kas ļāva viņiem pārvērtēt automašīnas Starlink funkciju kontroli jebkurai viņu izvēlētajai ierīcei. Viņi varēja atbloķēt automašīnu, pagodināt savu ragu un pat sākt aizdedzi. Varbūt visvairāk satraucoši viņi varēja piekļūt detalizētiem datiem par atrašanās vietu visu gadu, kurā automašīna tika izmantota. Šī informācija atklāja, ka katra vieta Karija māte bija apmeklējusi, līdz īpašām stāvvietām un personīgām pieturām, piemēram, baznīcas un ārsta birojiem.
“Jūs varat atgūt vismaz gada vērtu automašīnu vēsturi, kur tā ir precīzi, dažreiz vairākas reizes dienā,” skaidroja Karijs. “Neatkarīgi no tā, vai kāds krāpjas ar savu sievu vai saņem abortu vai daļu no kādas politiskas grupas, ir miljons scenāriju, kad jūs to varētu ieročot pret kādu.”
Subaru Starlink ievainojamība pakļautas automašīnām ar attālām uzlaušanu: Pētnieki atklāj gadu ilgu izsekošanas neaizsargātības un privātuma riskus
Karijs un Šahs sīki aprakstīja savus atklājumus emuāra ierakstā, kas publicēts pagājušajā nedēļā, atklājot, kā Subaru vietnē paredzētā ievainojamība ļāva viņiem atiestatīt darbinieka konta akreditācijas datus un piekļūt transportlīdzekļa datiem. Izmantojot šīs vājās puses, viņi varētu izsekot jebkuram Subaru transportlīdzeklim, kas aprīkots ar StarLink ASV, Kanādā vai Japānā. Hack paļāvās uz virkni kļūdu: uz e-pastu balstīta parole, drošības jautājumu atbildes, kas apstiprinātas pārlūkprogrammā, un pārāk plaša darbinieku piekļuve klienta datiem.
Pēc brīdinājuma novembrī Subaru ātri pievērsās trūkumiem. Uzņēmums paziņoja: “Pēc tam, kad to paziņoja neatkarīgi drošības pētnieki, (Subaru) savā Starlink pakalpojumā atklāja neaizsargātību, kas, iespējams, varētu ļaut trešajai pusei piekļūt StarLink kontiem. Ievainojamība tika nekavējoties slēgta, un bez atļaujas klienta informācija nekad netika piekļūtu. ”
Tomēr incidents uzsver, cik daudz datu autoražotāju savāc un kam tam ir pieeja. Subaru apstiprināja, ka daži darbinieki var piekļūt datiem par vēsturisko atrašanās vietu, apgalvojot, ka tas ir nepieciešams tādos gadījumos kā transportlīdzekļu atrašanās vietu dalīšana ar pirmajiem reaģētājiem pēc negadījuma. Karijs tomēr apšaubīja nepieciešamību pēc šādas plašas datu aiztures.
“Pastāv cerība, ka Google darbinieks negrasās tikai iziet cauri jūsu e -pastiem Gmail,” viņš teica. “Bet Subaru administratora panelī burtiski ir poga, kas ļauj darbiniekam apskatīt atrašanās vietas vēsturi.”
Subaru situācija nav izolēta. Pētnieku darbs ir daļa no plašākas tendences pakļaut savienotos transportlīdzekļos ievainojamības. Pēdējo divu gadu laikā Karijs un viņa kolēģi ir identificējuši līdzīgus trūkumus tīmekļa sistēmās, kuras izmanto Acura, Toyota, Hyundai, Kia un vairāki luksusa zīmoli. Lai gan daudzi no šiem gadījumiem bija saistīti ar automašīnu funkciju tālvadības pulti, Subaru plašā atrašanās vietas datu vākšana izceļas.
Šis atklājums palielina bažas par autobūves nozares datu praksi. Septembrī Mozilla fonds mūsdienu automašīnas nosauca par “privātuma murgu”, ziņojot, ka 92% autoražotāju piedāvā maz vai nekontrolē datu vākšanu un 84% patur tiesības pārdot vai koplietot vāktos datus. Subaru ir noliedzis datus par atrašanās vietu.
Plašāka līdzņemšana ir tāda, ka savienotās automašīnas arvien vairāk kļūst par sensitīvu personas datu krātuvēm. Karija atklājumi uzsver nepieciešamību pēc labākiem aizsardzības pasākumiem, lai aizsargātu autovadītājus no iespējamiem pārkāpumiem gan hakeriem, gan tiem, kuriem ir atļauta piekļuve. Tā kā automašīnu uzņēmumi paplašina savus savienotos pakalpojumus, līdzsvars starp funkcionalitāti un privātumu joprojām ir kritisks izaicinājums.
