Два хакера выявили серьезные уязвимости в системах безопасности Subaru Impreza 2023 года. Уязвимости в веб-портале Subaru позволили им получить удаленный доступ к автомобилю. Подобные проблемы могут затронуть сразу несколько крупных автомобильных брендов.
Двое хакеров продемонстрировали, как дистанционно взяли под контроль Subaru Impreza, обнаружив серьезный изъян в системе Starlink, которая соединяет информационно-развлекательный комплекс автомобиля с интернетом. Сэм Карри и Шубхам Шах (работавший удаленно) использовали уязвимости в веб-портале Subaru, которые позволили им завладеть автомобилем матери Карри. Благодаря этому они смогли открывать машину, сигналить и запускать двигатель с любого выбранного смартфона или компьютера.
Карри подробно объяснил свой метод в видео и в своем блоге. Хакер подробно рассказал, как сумел войти в упомянутый веб-портал и взломать учетную запись сотрудника Subaru, просто сбросив пароль. Это дало ему возможность получить доступ к миллионам автомобилей Subaru, зная имя клиента, номер регистрации или почтовый индекс.
Карри утверждает, что ему удалось получить информацию как минимум за год о местонахождении автомобиля его матери, включая точные данные о том, где она бывала, вплоть до места парковки у церкви.
Представители Subaru сообщают, что, получив уведомление от хакеров, компания начала работать над исправлением и устранением уязвимости в служебном портале. Subaru также подчеркнули, что сбор данных о местонахождении важен для оказания помощи в чрезвычайных ситуациях и поиска украденных автомобилей.
Тем не менее, Карри и сообщество хакеров считают избыточным сбор данных о местоположении клиентов за длительный период. Карри также отмечает, что аналогичные уязвимости присутствуют не только у Subaru, но и у таких брендов, как Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota и многих других.
Анализ: современный подключенный автомобиль может стать nightmare для приватности данных.
На прошлой неделе исследователи безопасности из Kaspersky опубликовали отчет о 13 уязвимостях в системе интерфейса Mercedes-Benz MBUX. Эти слабые места могут позволить злоумышленникам украсть данные и отключить функции защиты от угона, если хакеры смогут получить физический доступ к автомобилю. Mercedes-Benz сообщает, что компании уже известно об этих уязвимостях с 2022 года, и они были устранены.
При этом немецкая компания подчеркивает, что взлом возможен только в случае физического доступа к центральной части информационно-развлекательной системы, что отличается от проблем Subaru.
Многие специалисты и эксперты по кибербезопасности давно предостерегают о серьезных рисках безопасности современных подключенных автомобилей. Mozilla в своем отчете за 2023 год называет современный автомобиль угрозой для сохранности личных данных.
Mozilla установила, что многие автомобили собирают больше данных, чем необходимо, и пользователям практически невозможно отказаться от их сбора. Затем эти данные перепродаются третьим лицам без ведома пользователя.
Помимо огромного вторжения в частную жизнь, автомобили, оснащенные камерами, микрофонами и постоянным интернет-соединением, дают большое количество возможностей для потенциальных хакеров, чтобы получить удаленный доступ.
Автопроизводители явно осознают это, и многие из них создали отдельные подразделения по разработке программного обеспечения для борьбы с этой угрозой, однако остается многое, что нужно сделать.
Источник: TechRadar
