Критична вразливість у сервісі Subaru Starlink дозволяє хакерам викрадати автомобілі в США та Канаді

Дослідники кібербезпеки виявили вразливість у сервісі Starlink компанії Subaru, яка дозволяє хакерам віддалено відстежувати, контролювати та викрадати автомобілі, використовуючи лише номерний знак. Проблема була виправлена через 24 години після виявлення.

Дослідники Сем Каррі та Шубхам Шах знайшли критичну вразливість у сервісі Subaru Starlink. Вона дозволяла хакерам захоплювати доступ до акаунтів користувачів у США, Канаді та Японії, якщо їм були відомі номерний знак, прізвище, ZIP-код, email або номер телефону жертви. Експлуатація цієї вразливості відкривала можливість:

• віддалено запускати чи зупиняти двигун, блокувати/розблоковувати двері та отримувати поточну локацію автомобіля;
• відслідковувати історію переміщень автомобіля за останній рік з точністю до 5 метрів;
• отримувати доступ до особистої інформації користувачів, зокрема до адреси, платіжних даних та PIN-коду автомобіля.

Starlink від Subaru – це підключений до Інтернету автомобільний сервіс, який забезпечує зручне дистанційне керування та відстеження транспортного засобу. Уразливість була пов’язана з інструментом «resetPassword.json», який дозволяв отримати доступ до облікового запису через панель адміністрування, оскільки міг змінювати пароль без підтвердження.

Проблема була вирішена протягом доби, і компанія Subaru підтвердила, що уразливість не була використана. Вразливість Subaru Starlink підкреслює важливість суворих заходів кібербезпеки в автомобілях, підключених до Інтернету. Дослідники ще раз наголошують на необхідності постійно перевіряти та вдосконалювати безпеку автомобільних систем.