По мере того, как автомобильная промышленность становится умнее и более связанной, растет и число уязвимостей безопасности. В новом отчете подробно описывается, насколько уязвимыми могут быть подключенные автомобили.

Исследователь безопасности по имени Сэм Карри недавно опубликовал сообщение в блоге, в котором подробно описал, как он и его коллега (Шубхам Шах) смогли взломать систему программного обеспечения Starlink, используемую в автомобилях Subaru. Starlink управляет информационно-развлекательным центром в автомобилях Subaru и позволяет пользователям удаленно управлять своими зарегистрированными автомобилями, что может включать удаленную блокировку/разблокировку автомобиля и его запуск. 

Карри объяснил, что уязвимость на странице входа сотрудников Subaru в систему Starlink позволила ему определить действительный адрес электронной почты сотрудника, изменить пароль сотрудника и обойти любую двухфакторную аутентификацию для входа в систему.

Оказавшись внутри системы Starlink, Карри понял, что может найти любой зарегистрированный автомобиль Subaru по одному из следующих параметров: имя клиента, номер телефона, адрес электронной почты или идентификационный номер автомобиля (VIN). (Обратите внимание, что VIN можно легко найти по номерному знаку.) Как только автомобиль был найден, вся эта информация была готова к использованию. Другая доступная информация включала данные о выставлении счетов, экстренные контакты и многое другое.

Не только эти персональные данные были легкодоступны, но и история местоположений транспортного средства за последний год также была доступна и, по словам Карри, ее было легко загрузить и нанести на карту. Эти данные о местоположении включали временную метку, одометр транспортного средства и координаты GPS (с точностью до 15 футов или 5 метров). 

Возможно, самое тревожное, что Карри смог найти машину друга в базе данных и добавить свои личные учетные данные как авторизованного пользователя Starlink в это транспортное средство. После того, как его добавили, он мог управлять автомобилем удаленно. Это позволяло ему запирать и отпирать машину, удаленно заводить ее и определять ее местоположение. Пострадавший пользователь Starlink не получил никаких уведомлений о том, что в учетную запись Starlink автомобиля был добавлен другой пользователь. 

Subaru, похоже, уже исправила уязвимость, которую Карри обнаружил в ноябре 2024 года. К их чести, автопроизводитель выпустил патч в течение 24 часов после получения отчета от Карри. Пост Карри служит напоминанием о том, что, какими бы умными ни были наши автомобили, они все еще могут быть довольно уязвимы для воров и других злоумышленников.