Subaru hat einen klaffenden Sicherheitsfehler eröffnet, obwohl er gepatcht ist, gibt es viele Datenschutzprobleme moderner Fahrzeuge. Sicherheitsforscher Sam Curry und Shubham Shah Gemeldet Ihre Ermittlungen (Von Verdrahtet) Über das leicht gehackte Mitarbeiter -Webportal. Nach Erhalt des Zugangs konnten sie das Testfahrzeug aus der Ferne steuern und die wertvollen Standortdaten für ein Jahr betrachteten. Sie warnen, dass Subaru nur sehr wenig Sicherheit in Bezug auf Fahrzeugdaten hat.
Nachdem die Sicherheitsanalysten Subaru informiert hatten, löste das Unternehmen die Ausbeutung schnell auf. Glücklicherweise sagen Forscher, dass weniger Hacker vor der Moral nicht gegen sie verstoßen haben. Sie sagen jedoch, dass autorisierte Subaru -Mitarbeiter weiterhin mit nur einer Information auf den Standortverlauf der Eigentümer zugreifen können: den Nachnamen des Eigentümers, die Postleitzahl, die E -Mail -Adresse, die Telefonnummer oder das Kennzeichen.
Hucked Admin -Portal Subaru’s StarLink -Anzug der Konnektivitätsfunktion. . Webbrowser, nicht Subaru -Server. Sie haben auch eine Zwei-Faktor-Authentifizierung übersprungen, indem sie „den Client überlappten, der sich vom Benutzer über den Kunden überlappte“.
Obwohl die Forscher vor einem Jahr den Standort des Testfahrzeugs getestet haben, konnten sie die Gelegenheit nicht abweisen, die autorisierten Subaru -Mitarbeiter zu verlangsamen. Dies liegt daran, dass das Testauto (2023 Subaru Empreza Curry für seine Mutter gehackt wird) seit langem in Gebrauch. Standortdaten werden nicht auf ein geräumiges Gebiet normalisiert: Sie sind weniger als 17 Fuß und werden jedes Mal aktualisiert, wenn der Motor startet.
„Nachdem ich mein eigenes Fahrzeug auf dem Armaturenbrett gesucht und gefunden habe, bestätige ich, dass das StarLink Admin -Dashboard viel Zugang zu den USA, Kanada und Japan haben sollte.“ „Wir möchten überprüfen, ob wir nichts verpasst haben. Deshalb kontaktierten wir eine Freundin und fragten, ob wir ihr Auto hacken könnten, um zu beweisen, dass es keinen Präzedenzfall oder eine Funktion gab, um eine vollständige Fahrzeugübernahme zu verhindern. Sie schickte uns ihr Nummernschild. Wir haben uns nicht vorhanden. Setzen Sie ihr Fahrzeug auf das Administrator.
Zusätzlich zur Verfolgung ihrer Position im Admin-Portal ermöglichten das von StarLink verbundene Subaru-Fahrzeug Forschern, zu starten, zu stoppen, zu sperren und freizuschalten. Sie sagten, dass Currys Mutter nie Benachrichtigungen erhalten habe, dass sie als autorisierte Kunden aufgenommen worden seien oder als sie ihr Auto entsperrte.
Sie können auch personenbezogene Daten für jeden Kunden in Frage stellen und wiederherstellen, einschließlich der Notfallkontakte, der autorisierten Benutzer, der Heimatadresse, den letzten vier Ziffern ihrer Kreditkarte und der Fahrzeugstift. Darüber hinaus konnten sie auf die Eigentümer des Eigentümers und der Vorbesitzer des Fahrzeugs, des Omometer -Lesens und der Verkaufshistorie zugreifen.
In einer Erklärung zu Angadget schrieb Dominic Infant, Kommunikationsdirektor von Subaru,: „Unabhängige Sicherheitsforscher haben den Subaru of America und den Starlink -Dienst in den Bereichen Starlink -Konten informiert. Subaru korrigierte die Sicherheitsanfälligkeit am selben Tag und ohne Autorität wurden keine Subaris -Fahrzeuge oder Kundendaten zugegriffen. Unabhängige Forscher konnten auf zwei Berichte von Familienmitgliedern und einem Freund zugreifen, der ihnen die Autorität gab.
Subaru betonte auch, dass seine Autos nicht aus der Ferne angetrieben werden könnten und dass das Unternehmen keine Standortdaten verkaufen würde. Es heißt auch, dass nur wenige Mitarbeiter auf der basierten Arbeitsplatz -Daten auf Fahrerortdaten zugreifen können.
Sicherheitsforscher sind Verfolgungs- und Sicherheitsfehler – aus der Fähigkeit, auf einen einzigen Mitarbeiter „Tonne persönliche Informationen“ zuzugreifen – nicht nur in Subaru. Verdrahtet Die frühere Aufgabe von Curry und Shah hat ähnliche Mängel enthüllt, die Akura, Genesis, Honda, Hyundai, Infinity, Kia, Toyota und andere Fahrzeuge beeinflussen.
Das Paar ist der Ansicht, dass es ernsthafte Bedenken hinsichtlich der Standortverfolgung der Branche und der schlechten Sicherheitsmaßnahmen gibt. Curry schrieb: „Die Autoindustrie ist einzigartig, wenn es darum geht, die Abrechnungsinformationen des Fahrzeugs in Kalifornien, einem 18 -jährigen Mitarbeiter aus Texas, in Frage zu stellen. „Dies ist Teil ihres normalen täglichen Jobs. Alle Mitarbeiter haben Zugang zu unzähligen persönlichen Informationen und das Ganze hängt von der Überzeugung ab. Wenn ein so großer Zugang im System standardmäßig eingebaut ist, können diese Systeme wirklich gesichert werden.
Der Vollständiger Bericht der Forscher Lesbar.
Update, 24. Januar 2025, 13:07 Uhr ET: Dieser Artikel wurde aktualisiert, um eine Erklärung von Subaru hinzuzufügen.
