Výskumníci upozornili na vážne kybernetické hrozby v systéme Subaru Starlink, ktoré vystavili autá riziku vzdialeného prístupu. Chyba sa dotkla vozidiel v Spojených štátoch, Kanade a v Japonsku. Na tému upozornil portál SercurityWeek.

Závažná chyba

Na zraniteľnosť systému upozornili Sam Curry a Shubham Shah. Subaru Starlink je prepojený systém, vďaka ktorému je možné ovládať niektoré funkcie na diaľku, napríklad zamykanie, štartovanie alebo sledovanie polohy. Administrátorský portál bol však určený len pre zamestnancov Subaru. Výskumníci objavili zraniteľnosť, vďaka ktorej mohol mať prístup k systému aj neoprávnená osoba.

Freepik

V prípade, ak by sa do systému dostal útočník, mal by prístup k informáciám o vozidle, ako aj jeho polohe, videl by VIN číslo vozidla a ďalšie dáta. Taktiež by sa dostal k súkromným informáciám zákazníkov, vrátane mien, adries, telefónnych čísiel a fakturačným údajom.

Neoprávnený prístup do administrátorského panelu by útočníkovi umožnilo aj ovládanie vozidla na diaľku. Administrátorsky panel totiž umiestnený na subdoméne subarucs.com, kde pri analýze JavaScript súborov zistili, že bolo možné resetovať heslá zamestnancov bez autentifikačného tokenu.

„Ak by to fungovalo tak, ako bolo napísané v JavaScripte, útočník by jednoducho mohol zadať akýkoľvek platný e-mail zamestnanca a prevziať kontrolu nad jeho účtom,“ uviedol Curry.

Nahlásená chyba je už opravená

Curry uviedol, že prístup do administrátorského panela umožňoval prakticky plnú kontrolu nad každým vozidlom Subaru v USA, Kanade, v Japonsku bez toho, aby si to majiteľ všimol. Curry po zistení chybu nahlásil japonskej automobilke, ktorá ho opravila za 24 hodín, takže sa k systému už hackeri touto cestou nevedia dostať.

Japonská automobilka však nie je jediná, ktorá mala vážnu bezpečnostnú chybu v systéme. V roku 2023 Curry odhalili, že viac ako 16 automobiliek bolo zraniteľných voči podobným útokom. Jednou z nich bola automobilka Kia, ktorá mala závažnú chybu v systéme Kia Connect. Curry zistil, KDealer, ktorý je určený pre predajcov, je možné získať token relácie – virtuálne povolenie na prístup k vozidlu.

Čítajte viac z kategórie: Tech