Subaru membuka cacat keamanan yang menganga yang, meskipun ditambal, meletakkan banyak masalah privasi kendaraan modern ‘. Peneliti Keamanan Sam Curry dan Shubham Shah dilaporkan temuan mereka (melalui Kabel) tentang portal web karyawan yang mudah diretas. Setelah mendapatkan akses, mereka dapat mengontrol kendaraan uji dari jarak jauh dan melihat data lokasi selama setahun. Mereka memperingatkan bahwa Subaru jauh dari sendirian dalam memiliki keamanan yang lemah di sekitar data kendaraan.
Setelah analis keamanan memberi tahu Subaru, perusahaan dengan cepat menambal eksploitasi. Untungnya, para peneliti mengatakan peretas yang kurang etis belum melanggarnya sebelum itu. Tetapi mereka mengatakan karyawan Subaru yang berwenang masih dapat mengakses riwayat lokasi pemilik dengan hanya satu bagian dari informasi berikut: nama belakang pemilik, kode pos, alamat email, nomor telepon atau plat nomor.
Portal admin yang diretas adalah bagian dari fitur konektivitas Starlink Subaru. ; Browser Web, bukan server Subaru. Mereka juga melewati otentikasi dua faktor dengan melakukan “hal paling sederhana yang dapat kita pikirkan: menghapus overlay sisi klien dari UI.”
Meskipun tes para peneliti melacak lokasi kendaraan uji kembali satu tahun, mereka tidak dapat mengesampingkan kemungkinan bahwa karyawan Subaru yang berwenang dapat mengintip balik lebih jauh. Itu karena mobil uji (2023 Subaru Impreza Curry yang dibeli untuk ibunya dengan syarat bahwa dia bisa meretasnya) hanya digunakan selama itu. Data lokasi tidak digeneralisasi ke petak tanah yang luas, baik: akurat hingga kurang dari 17 kaki dan diperbarui setiap kali mesin mulai.
“Setelah mencari dan menemukan kendaraan saya sendiri di dasbor, saya mengkonfirmasi bahwa dasbor Admin Starlink harus memiliki akses ke hampir semua Subaru di Amerika Serikat, Kanada, dan Jepang,” tulis Curry. “Kami ingin mengkonfirmasi bahwa tidak ada yang kami lewatkan, jadi kami menjangkau seorang teman dan bertanya apakah kami dapat meretas mobilnya untuk menunjukkan bahwa tidak ada prasyarat atau fitur yang sebenarnya akan mencegah pengambilalihan kendaraan penuh. Dia mengirimi kami plat nomornya, kami menarik kendaraannya di panel admin, lalu akhirnya kami menambahkan diri ke mobilnya. ”
Selain melacak lokasi mereka, portal admin memungkinkan para peneliti untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan Subaru yang terhubung dengan Starlink. Mereka mengatakan ibu Curry tidak pernah menerima pemberitahuan bahwa mereka telah menambahkan diri mereka sebagai pengguna yang berwenang, juga tidak menerima peringatan ketika mereka membuka kunci mobilnya.
Mereka juga dapat meminta dan mengambil informasi pribadi untuk setiap pelanggan, termasuk kontak darurat mereka, pengguna resmi, alamat rumah, empat digit terakhir dari kartu kredit dan pin kendaraan mereka. Selain itu, mereka dapat mengakses riwayat panggilan dukungan pemilik dan pemilik kendaraan sebelumnya, odometer membaca dan riwayat penjualan.
Dalam sebuah pernyataan kepada Engadget, Direktur Komunikasi Subaru Dominick Infante menulis, “Subaru of America, Inc. diberitahu oleh para peneliti keamanan independen tentang kerentanan dalam layanan Starlink yang berpotensi untuk memungkinkan akses pihak ketiga ke akun Starlink. Subaru menambal kerentanan pada hari yang sama, dan tidak ada kendaraan Subaru atau data pelanggan yang pernah diakses tanpa otorisasi. Para peneliti independen dapat mengakses dua akun milik anggota keluarga dan seorang teman yang memberi mereka otorisasi untuk melakukannya. ”
Subaru juga menekankan bahwa mobilnya tidak dapat dikendarai dari jarak jauh dan perusahaan tidak menjual data lokasi. Ia juga mengatakan hanya karyawan tertentu yang dapat mengakses data lokasi pengemudi berdasarkan relevansi pekerjaan.
Para peneliti keamanan mengatakan kegagalan pelacakan dan keamanan – yang berasal dari kemampuan seorang karyawan tunggal untuk mengakses “satu ton informasi pribadi” – hampir tidak unik bagi Subaru. Kabel Catatan bahwa karya Curry dan Shah sebelumnya mengekspos kelemahan serupa yang mempengaruhi kendaraan dari Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota, dan lainnya.
Pasangan ini percaya ada alasan untuk kekhawatiran serius tentang pelacakan lokasi industri dan langkah -langkah keamanan yang buruk. “Industri otomotif ini unik karena seorang karyawan berusia 18 tahun dari Texas dapat menanyakan informasi penagihan kendaraan di California, dan itu tidak akan benar-benar memicu lonceng alarm,” tulis Curry. “Ini bagian dari pekerjaan normal sehari-hari mereka. Semua karyawan memiliki akses ke banyak informasi pribadi, dan semuanya bergantung pada kepercayaan. Tampaknya sangat sulit untuk benar -benar mengamankan sistem ini ketika akses luas seperti itu dibangun ke dalam sistem secara default. “
Itu Laporan lengkap peneliti layak dibaca.
UPDATE, 24 Januari 2025, 1:07 PM ET: Kisah ini telah diperbarui untuk menambahkan pernyataan dari Subaru.
