A Subaru deixou aberta uma falha de segurança que, mesmo corrigida, apresenta inúmeros problemas de privacidade em veículos modernos. Pesquisadores de segurança Sam Curry e Shuham Shah Relatório sua pesquisa (através com fio) sobre um portal da web para funcionários facilmente hackeado. Depois de obter acesso, eles puderam controlar remotamente um veículo de teste e visualizar dados de localização de um ano. Eles alertaram que a Subaru está longe de ser a única a ter uma segurança negligente em relação aos dados do veículo.

Depois que os analistas de segurança notificaram a Subaru, a empresa rapidamente corrigiu a exploração. Felizmente, os pesquisadores dizem que hackers pouco éticos nunca o violaram antes. Mas eles disseram que os funcionários autorizados da Subaru ainda podem acessar o histórico de localização dos proprietários com as seguintes informações: sobrenome do proprietário, código postal, endereço de e-mail, número de telefone ou placa do carro.

O Hacked Admin Portal fazia parte do conjunto de recursos de conectividade StarLink da Subaru. (Sem relação com o serviço de internet via satélite SpaceX de mesmo nome) Navegador da Web, não servidor da Subaru. Eles contornaram a autenticação de dois fatores “fazendo a coisa mais fácil que poderíamos imaginar: remover a sobreposição do lado do cliente da IU”. “

Embora os testes dos pesquisadores tenham rastreado a localização do carro de teste há um ano, eles não podem descartar a possibilidade de que funcionários autorizados da Subaru tenham retrocedido ainda mais. Isso porque o carro de teste (um Subaru Impreza Curry 2023 comprado para sua mãe com a condição de que ele pudesse hackeá-lo) só foi usado por esse tempo. Os dados de posição também não foram generalizados para terrenos amplos: tinham precisão de menos de 17 pés e eram atualizados cada vez que o motor era ligado.

“Depois de pesquisar e encontrar meu próprio carro no painel, confirmei que o painel de administração do Starlink deveria ter acesso a quase todos os Subaru nos EUA, Canadá e Japão”, escreveu Curry. “Queríamos ter certeza de que não estávamos perdendo nada, então entramos em contato com um amigo e perguntamos se poderíamos hackear o carro dele para provar que ele não tinha nenhum pré-requisito ou recurso que pudesse realmente bloquear a adoção de todo o sistema. veículo. Ele nos enviou sua placa, colocamos seu carro no painel de administração e finalmente nos adicionamos ao nosso carro. “

Além de rastrear sua localização, o portal de administração permite que os pesquisadores iniciem, parem, bloqueiem e desbloqueiem remotamente qualquer veículo Subaru conectado ao Starlink. Eles disseram que a mãe de Curry nunca recebeu notificação de que eles haviam se adicionado como usuário autorizado, nem recebeu um alerta quando desbloquearam seu carro.

Eles também podem solicitar e recuperar informações pessoais de um cliente, incluindo contatos de emergência, usuários autorizados, endereços residenciais, os últimos quatro dígitos do cartão de crédito e PIN do veículo. Além disso, eles puderam acessar o histórico de chamadas de suporte ao proprietário e o proprietário anterior do veículo, leitura do hodômetro e histórico de vendas.

Em uma declaração ao Engadget, o diretor de comunicações da Subaru, Dominic Infante, escreveu: “Subaru of America, Inc. Foi notificado por pesquisadores de segurança independentes sobre uma vulnerabilidade em seu serviço Starlink que tinha o potencial de permitir o acesso de terceiros às contas Starlink. A Subaru corrigiu a vulnerabilidade no mesmo dia e nenhum veículo Subaru ou dados de clientes foram acessados ​​sem autorização. Os pesquisadores individuais conseguiram acessar duas contas pertencentes a um familiar e a um amigo que os autorizou a fazê-lo. “

A Subaru também enfatizou que seus carros não podem ser dirigidos remotamente e que a empresa não vende dados de localização. Ele também disse que apenas alguns funcionários podem acessar os dados de localização do motorista com base na relevância do trabalho.

Pesquisadores de segurança dizem que as falhas de rastreamento e segurança – decorrentes da capacidade de um único funcionário de acessar “uma tonelada de informações pessoais” – dificilmente são exclusivas da Subaru. com fio observa que trabalhos anteriores de Curry e Shah revelaram defeitos semelhantes afetando veículos Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota e outros.

A dupla acredita que a indústria tem motivos para sérias preocupações sobre o rastreamento de localização e medidas de segurança fracas. “A indústria automobilística é única porque um funcionário de 18 anos do Texas pode solicitar informações de faturamento de um veículo na Califórnia e isso realmente não dispara nenhum alarme”, escreveu Curry. “Faz parte do trabalho normal do dia a dia. Todos os funcionários têm acesso a uma tonelada de informações pessoais e tudo depende da confiança. Quando um acesso tão amplo é incorporado aos sistemas por padrão, parece realmente difícil proteger realmente esses sistemas.”

O Relatório completo de pesquisadores vale a pena ler.

Atualização, 24 de janeiro de 2025, 13h07 horário do leste dos EUA: Esta história foi atualizada para adicionar uma declaração da Subaru.

Link da fonte