Исследователь безопасности Сэм Карри решил проверить, насколько безопасен автомобиль Subaru, который он купил своей матери. Около года назад он договорился с ней, что в будущем он изучит возможности хакерского вмешательства в систему машины. Эта возможность появилась в ноябре, когда Карри вместе с коллегой Шубхамом Шахом начали анализировать интернет-функции Subaru Impreza 2023 года.
Карри и Шах обнаружили уязвимости в веб-портале Subaru, которые позволили им дистанционно управлять функциями автомобиля, такими как разблокировка дверей, сигнализация, зажигание и даже отслеживание местоположения машины. Более того, исследователи смогли получить доступ к целому году исторических данных о перемещениях автомобиля, включая посещённые адреса, врачей, друзей и даже точное место на парковке у церкви.
Уязвимости касались системы Starlink, которая используется в автомобилях Subaru в США, Канаде и Японии. Хакеры смогли бы переназначить управление функциями любого автомобиля, подключённого к Starlink, просто используя веб-инструменты для сотрудников Subaru. После уведомления компании в ноябре Subaru оперативно устранила проблемы, однако исследователи предупреждают: подобные уязвимости присутствуют и у других автопроизводителей.
Среди выявленных проблем в портале Subaru – возможность сброса пароля сотрудника, зная лишь его электронную почту, а также обход проверки ответов на секретные вопросы. Получив доступ к аккаунту сотрудника, Карри и Шах смогли искать данные владельцев автомобилей по фамилии, номеру телефона или номеру лицензии. С помощью этих данных они могли дистанционно управлять функциями автомобиля.
Хакеры утверждают, что такие возможности создают серьёзные риски для безопасности и конфиденциальности. Злоумышленники могли бы использовать эти данные для кражи, слежки или других незаконных действий. Хотя Subaru уверяет, что доступ к данным имеют только специально обученные сотрудники, проблема сохранения годовой истории перемещений остаётся актуальной.
Исследователи предупреждают, что автомобильные компании всё чаще превращают машины в “сборщики данных”, что угрожает личной безопасности водителей. По данным Mozilla Foundation , 92% современных автомобилей дают пользователям минимальный контроль над собираемыми данными, а 84% оставляют за собой право продавать или делиться этой информацией.
Карри подытожил, что такие случаи демонстрируют слабую защиту данных в автомобильной индустрии, и призвал к более строгому контролю над сбором и использованием личной информации.