O gravă breșă de securitate descoperită în infrastructura Subaru a permis accesul neautorizat la milioane de vehicule dotate cu sistemul Starlink. Hackerii ar fi putut nu doar să urmărească poziția exactă a unei mașini pe parcursul unui an întreg, dar și să o deblocheze sau chiar să o pornească – totul fără știrea proprietarului.
Cum a fost descoperită vulnerabilitatea
Breșa a fost detectată de cercetătorul în securitate Sam Curry, care a decis să-și testeze abilitățile pe un Subaru, după ce i-a promis mamei sale că îi va cumpăra o mașină dacă îi permite să o „atace” digital.
Inițial, Curry a investigat aplicația mobilă MySubaru, însă nu a găsit nicio vulnerabilitate majoră. Știind din experiențele anterioare că interfețele dedicate angajaților producătorilor auto pot avea mai puține măsuri de securitate, el și echipa sa au început să caute alte domenii asociate Subaru.
Un prieten i-a ajutat să identifice un subdomeniu promițător, care necesita autentificare de angajat. După o analiză a codului JavaScript al paginii, au descoperit că sistemul de resetare a parolei era nesecurizat, permițându-le să schimbe parola oricărui utilizator cunoscând doar adresa sa de e-mail. O simplă căutare pe Google le-a oferit o adresă de e-mail validă a unui angajat Subaru.
Deși portalul avea protecție 2FA (autentificare în doi pași), aceasta se baza pe client-side și putea fi dezactivată local, fără vreo alertă în sistem.
Acces complet la istoricul de localizare și la controlul vehiculelor
După obținerea accesului, echipa de cercetători a descoperit mai multe funcționalități critice în interfața destinată angajaților, inclusiv un tab intitulat „Last Known Location”. Introducând doar numele și codul poștal al mamei sale, Curry a putut vedea toate locațiile unde fusese mașina în ultimul an, cu o precizie de sub cinci metri.
Mai îngrijorător, sistemul le-a permis să preia controlul total asupra vehiculului, inclusiv să adauge utilizatori noi fără notificarea proprietarului. Ei au testat această funcționalitate pe mașina unui prieten, cu permisiunea acestuia:
- Au căutat mașina după numărul de înmatriculare
- S-au adăugat ca utilizatori autorizați în sistem
- După câteva minute, au avut acces total la vehicul
- Au testat funcția de deblocare de la distanță – iar proprietarul nu a primit nicio notificare
Un video trimis de proprietarul mașinii a confirmat că ușile s-au deblocat instantaneu, fără ca el să primească vreun mesaj de avertizare.
Subaru a reacționat rapid, dar problema de securitate rămâne îngrijorătoare
După descoperirea vulnerabilității, Curry a notificat Subaru, iar compania a rezolvat problema în mai puțin de 24 de ore. De asemenea, producătorul auto a declarat că nu există dovezi că această breșă ar fi fost exploatată de alte persoane înainte de raportarea sa.
Cu toate acestea, cercetătorul în securitate subliniază că astfel de vulnerabilități nu sunt surprinzătoare pentru cei din industrie:
„Pentru cei care lucrează în securitate, tehnicile folosite pentru resetarea parolelor sau ocolirea 2FA nu sunt noi. Ceea ce merită discutat este impactul uriaș al unei astfel de breșe și cât de nesecurizate sunt aceste sisteme.”
El atrage atenția asupra unui aspect mai larg: multe companii auto oferă acces extins angajaților lor, fără măsuri stricte de control. Un angajat dintr-un call center Subaru din Texas poate accesa datele complete ale unui vehicul aflat în California, fără să declanșeze alarme de securitate. Aceasta este o problemă de încredere care face dificilă securizarea reală a acestor sisteme.
Concluzie: cât de sigure sunt mașinile moderne?
Această vulnerabilitate demonstrează un risc major al vehiculelor conectate la internet. Dacă atacatorii găsesc puncte slabe în infrastructura producătorilor auto, aceștia pot monitoriza, controla și chiar fura mașini de la distanță, fără ca proprietarii să-și dea seama.
Deși Subaru a reacționat rapid în acest caz, experții avertizează că aceasta nu este o excepție, ci o problemă generalizată în industrie. Proprietarii de mașini moderne ar trebui să fie conștienți de riscuri și să folosească măsuri suplimentare de securitate, cum ar fi alertele prin SMS pentru modificările de cont și autentificarea multi-factor reală, bazată pe servere securizate.
Rămâne de văzut cât de sigure sunt cu adevărat sistemele vehiculelor inteligente și cât de pregătiți sunt producătorii auto să facă față atacurilor cibernetice sofisticate.
