Bảo mật kém của Subaru để lại dữ liệu xe hơi dễ dàng truy cập

Subaru đã mở một lỗ hổng bảo mật há hốc, mặc dù được vá, đặt ra vô số vấn đề riêng tư của phương tiện hiện đại. Các nhà nghiên cứu an ninh Sam Curry và Shubham Shah đã báo cáo những phát hiện của họ (thông qua Có dây) về một cổng thông tin web của nhân viên dễ bị hack. Sau khi có được quyền truy cập, họ đã có thể điều khiển từ xa một chiếc xe thử nghiệm và xem dữ liệu vị trí giá trị của một năm. Họ cảnh báo rằng Subaru không đơn độc trong việc có bảo mật lỏng lẻo xung quanh dữ liệu xe.

Sau khi các nhà phân tích bảo mật thông báo cho Subaru, công ty đã nhanh chóng vá lỗi khai thác. May mắn thay, các nhà nghiên cứu nói rằng các tin tặc không có đạo đức đã không vi phạm nó trước đó. Nhưng họ nói rằng nhân viên Subaru được ủy quyền vẫn có thể truy cập lịch sử vị trí của chủ sở hữu chỉ với một phần thông tin sau: họ của chủ sở hữu, mã zip, địa chỉ email, số điện thoại hoặc biển số xe.

Cổng thông tin quản trị bị hack là một phần của các tính năng kết nối StarLink của Subaru. (Không liên quan đến dịch vụ Internet vệ tinh SpaceX cùng tên.) Curry và Shah nhận được bằng cách tìm một địa chỉ email của nhân viên Subaru Starlink trên LinkedIn và đặt lại mật khẩu của công nhân sau khi bỏ qua hai câu hỏi bảo mật bắt buộc – bởi vì nó diễn ra trong người dùng cuối Trình duyệt web, không phải máy chủ của Subaru. Họ cũng bỏ qua xác thực hai yếu tố bằng cách thực hiện điều đơn giản nhất mà chúng ta có thể nghĩ ra: loại bỏ lớp phủ phía máy khách khỏi giao diện người dùng.

Mặc dù các thử nghiệm của các nhà nghiên cứu đã truy tìm vị trí của xe thử nghiệm một năm, nhưng họ không thể loại trừ khả năng nhân viên Subaru được ủy quyền có thể quay trở lại xa hơn. Đó là bởi vì chiếc xe thử nghiệm (một chiếc Subaru Impreza Curry năm 2023 đã mua cho mẹ mình với điều kiện anh ta có thể hack nó) chỉ được sử dụng trong khoảng thời gian đó. Dữ liệu vị trí cũng không được khái quát cho một số vùng đất rộng lớn: Nó chính xác dưới 17 feet và được cập nhật mỗi khi động cơ khởi động.

Sau khi tìm kiếm và tìm chiếc xe của riêng mình trong bảng điều khiển, tôi đã xác nhận rằng bảng điều khiển quản trị viên Starlink sẽ có quyền truy cập vào khá nhiều Subaru ở Hoa Kỳ, Canada và Nhật Bản, ông Curry Curry viết. Chúng tôi muốn xác nhận rằng không có gì chúng tôi thiếu, vì vậy chúng tôi đã liên lạc với một người bạn và hỏi liệu chúng tôi có thể hack xe của cô ấy để chứng minh rằng không có điều kiện tiên quyết hoặc tính năng nào thực sự không thể ngăn chặn được một chiếc xe đầy đủ. Cô ấy đã gửi cho chúng tôi biển số xe của cô ấy, chúng tôi kéo chiếc xe của cô ấy trong bảng điều hành, sau đó cuối cùng chúng tôi đã tự thêm vào xe của cô ấy.

Ngoài việc theo dõi vị trí của họ, cổng thông tin quản trị cho phép các nhà nghiên cứu bắt đầu từ xa, dừng, khóa và mở khóa bất kỳ phương tiện Subaru kết nối Starlink nào. Họ nói mẹ của Curry không bao giờ nhận được thông báo rằng họ đã tự thêm vào làm người dùng được ủy quyền, cô cũng không nhận được thông báo khi họ mở khóa xe.

Họ cũng có thể truy vấn và truy xuất thông tin cá nhân cho bất kỳ khách hàng nào, bao gồm các liên hệ khẩn cấp, người dùng được ủy quyền, địa chỉ nhà, bốn chữ số cuối cùng của thẻ tín dụng và pin xe. Ngoài ra, họ đã có thể truy cập vào lịch sử cuộc gọi hỗ trợ của chủ sở hữu và chủ sở hữu trước đây của phương tiện, đọc và lịch sử bán hàng.

Trong một tuyên bố với Engadget, Giám đốc truyền thông của Subaru Dominick Infante đã viết, Hồi Subaru of America, Inc. đã được các nhà nghiên cứu bảo mật độc lập thông báo về một lỗ hổng trong dịch vụ Starlink có khả năng cho phép bên thứ ba truy cập vào tài khoản StarLink. Subaru đã vá các lỗ hổng trong cùng một ngày và không có phương tiện nào của Subaru hoặc dữ liệu khách hàng được truy cập mà không có sự cho phép. Các nhà nghiên cứu độc lập đã có thể truy cập hai tài khoản thuộc về một thành viên gia đình và một người bạn đã cung cấp cho họ sự cho phép để làm như vậy.

Subaru cũng nhấn mạnh rằng những chiếc xe của nó không thể được điều khiển từ xa và công ty không bán dữ liệu vị trí. Nó cũng cho biết chỉ một số nhân viên có thể truy cập dữ liệu vị trí người lái dựa trên mức độ phù hợp công việc.

Các nhà nghiên cứu bảo mật cho biết các thất bại theo dõi và bảo mật – xuất phát từ khả năng của một nhân viên truy cập vào một tấn thông tin cá nhân – hầu như không phải là duy nhất đối với Subaru. Có dây Lưu ý rằng công việc trước đây của Curry và Shah đã phơi bày những sai sót tương tự ảnh hưởng đến các phương tiện từ Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota và những người khác.

Cặp đôi tin rằng có lý do cho mối quan tâm nghiêm trọng về việc theo dõi vị trí của ngành và các biện pháp an ninh kém. Ngành công nghiệp ô tô là duy nhất ở chỗ một nhân viên 18 tuổi từ Texas có thể truy vấn thông tin thanh toán của một chiếc xe ở California và nó sẽ không thực sự đặt ra bất kỳ tiếng chuông báo thức nào, ông Cur Curry viết. Đây là một phần của công việc hàng ngày bình thường của họ. Các nhân viên đều có quyền truy cập vào rất nhiều thông tin cá nhân, và toàn bộ điều này dựa vào niềm tin. Có vẻ rất khó để thực sự bảo mật các hệ thống này khi quyền truy cập rộng như vậy được tích hợp vào hệ thống theo mặc định.

Báo cáo đầy đủ của các nhà nghiên cứu có giá trị đọc.

Cập nhật, ngày 24 tháng 1 năm 2025, 1:07 PM ET: Câu chuyện này đã được cập nhật để thêm một tuyên bố từ Subaru.