Експерти з кібербезпеки виявили критичну вразливість у системі Subaru Starlink, яка становила серйозну загрозу для конфіденційності та безпеки власників автомобілів у США, Канаді та Японії. Найбільш тривожним аспектом цієї вразливості була можливість отримати несанкціонований доступ до транспортного засобу, маючи лише його номерний знак.
Технічні деталі вразливості та механізм експлуатації
Дослідники Сем Каррі та Шубхам Шах виявили суттєві недоліки в системі аутентифікації корпоративного порталу SubaruCS.com. Основна проблема полягала в клієнтській валідації контрольних запитань під час процедури відновлення паролю. Зловмисники могли обійти механізм перевірки та отримати доступ до облікових записів співробітників, що відкривало можливості для пошуку інформації про власників автомобілів за різними параметрами.
Масштаб загрози та потенційні наслідки
Успішна експлуатація вразливості надавала зловмисникам широкі можливості віддаленого керування функціями автомобіля, включаючи розблокування дверей та запуск двигуна. Особливе занепокоєння викликав доступ до детальної історії переміщень транспортних засобів, яка фіксувалася системою при кожному запуску двигуна, створюючи повну картину пересувань власника.
Системні проблеми захисту даних в автомобільній індустрії
За даними дослідження Mozilla, 92% сучасних автомобілів не забезпечують належного контролю над збором персональних даних, а 84% виробників залишають за собою право передавати зібрану інформацію третім особам. Окрім геолокаційних даних, сучасні автомобільні системи збирають біометричні показники, інформацію про стан здоров’я та інші конфіденційні дані користувачів.
Subaru оперативно усунула виявлені вразливості в листопаді 2024 року та впровадила додаткові протоколи безпеки для захисту користувацьких даних. Незважаючи на вжиті заходи, цей інцидент демонструє необхідність посилення стандартів кібербезпеки в автомобільній галузі та впровадження більш прозорих політик щодо збору та обробки персональних даних власників транспортних засобів. Автовиробникам необхідно приділяти першочергову увагу захисту конфіденційності користувачів та впроваджувати багаторівневі системи безпеки для запобігання подібним інцидентам у майбутньому.
