Сегодня 01 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → слежение

В софте Subaru нашли дыру, позволявшую удалённо отпирать, заводить и следить за миллионами автомобилей

Исследователи в области кибербезопасности Сэм Карри (Sam Curry) и Шубхам Шах (Shubham Shah) обнаружили в информационно-развлекательной системе Subaru Starlink (не связана со спутниковым провайдером от SpaceX) уязвимости, позволяющие частично перехватывать управление автомобилем и следить за его передвижениями.

 Источник изображений: subaru.com

Источник изображений: subaru.com

Взлом системы Starlink экспертам удалось произвести через веб-портал Subaru. Повторив их действия, потенциальный злоумышленник получает возможность открывать автомобиль, подавать звуковой сигнал, запускать двигатель, а также переназначать эти функции любому телефону или ПК. Обнаружилось также, что в системе присутствует возможность отслеживать местоположение автомобиля Subaru — не только где он находится в настоящий момент, но и историю его передвижений. Взлом производился на примере машины, принадлежащей матери господина Карри — он увидел в системе все её поездки к врачу, в гости к друзьям, и даже парковочное место, на котором она оставляла автомобиль, когда приезжала в церковь. Обнаруженная экспертами уязвимость была действительна для систем Subaru Starlink в США, Канаде и Японии.

Специалисты установили доменное имя ресурса, через который осуществляется удалённое управление функциями автомобилей. Изучив этот сайт, они нашли способ получить административные привилегии: подобрав адрес электронной почты сотрудника, они производили сброс его пароля. Для этого система запрашивала ответ на два контрольных вопроса, но их проверка осуществлялась локальным скриптом в браузере пользователя, а не на сервере Subaru, и обойти такую защиту было нетрудно. На LinkedIn они обнаружили электронную почту разработчика Subaru Starlink, взломали его учётную запись на административном портале и обнаружили, что у него есть доступ к поиску любого владельца автомобиля Subaru по фамилии, почтовому индексу, адресу электронной почты, номеру телефона или номерному знаку — найдя нужный автомобиль, они получали доступ к конфигурации Starlink.

Карри и Шах сообщили о своих открытиях компании Subaru в конце ноября, и автопроизводитель оперативно принял меры для исправления уязвимостей. Это решило проблему безопасности, но оставило проблему конфиденциальности: даже если потенциальные злоумышленники лишились возможности перехватывать функции управления автомобилями и считывать историю перемещения транспортных средств, всё это по-прежнему могут делать работники Subaru. В компании подтвердили, что её работники действительно имеют доступ ко всем этим функциям, но заверили, что они проходят надлежащую подготовку и подписывают соглашения о неразглашении; на практике же доступ к местоположению машины им якобы предоставляется, чтобы сообщать его службам быстрого реагирования, если система обнаружит ДТП.

Тот факт, что Subaru отслеживает передвижения автомобилей своего производства, свидетельствует, что во всём автопроме больше нет гарантий конфиденциальности, указывает Сэм Карри. Так, сотрудник Google, как предполагается, не может читать переписку пользователей Gmail, а в Subaru история передвижений транспортных средств открыта для работников компании. Ранее стало известно, что в открытом доступе оказались аналогичные данные автомобилей VW Group из-за действий входящей в концерн компании Cariad.


window-new
Soft
Hard
Тренды 🔥
«Загрузки быстрее, чем в Doom (2016)»: эксперт Digital Foundry остался в восторге от Doom: The Dark Ages 56 мин.
Консоли задержат релиз постапокалиптического стелс-экшена Steel Seed от создателей Close to the Sun — объявлена новая дата выхода 3 ч.
Всего за несколько дней в Atomfall сыграло более 1,5 миллиона человек — это лучший старт в 32-летней истории разработчиков 4 ч.
ИИ-модель Llama запустили на ПК из прошлого тысячелетия на базе Windows 98 4 ч.
Nintendo подтвердила рекордную продолжительность презентации Switch 2 и устроит две демонстрации игр для консоли 5 ч.
ChatGPT остаётся самым популярным чат-ботом с ИИ, но у конкурентов аудитория тоже растёт 6 ч.
Google сделает сквозное шифрование в Gmail доступным для всех 6 ч.
Антиутопия на колёсах: новый геймплейный трейлер раскрыл дату выхода приключения Beholder: Conductor про кондуктора легендарного поезда 6 ч.
Путин запретил госорганам и банкам общаться с клиентами через иностранные мессенджеры 6 ч.
Разработчик приложений для российской ОС «Аврора» приостановил работу — сотрудникам перестали платить зарплату 6 ч.
Segway выпустила в России электросамокаты с запасом хода до 138 км и разгоном до 80 км/ч 25 мин.
Garmin представила смарт-часы Vivoactive 6 с мониторингом энергии пользователя за $300 38 мин.
Экспериментальный мозговой имплантат на лету превратил мысли пациента в беглую речь 49 мин.
В Калифорнии зарядных станций для электромобилей теперь на 48 % больше, чем бензоколонок 4 ч.
Японская Rapidus к концу апреля запустит опытное производство 2-нм чипов 6 ч.
В Лондоне появится экобезопасный ЦОД AWS для ленточных накопителей 8 ч.
Blue Origin выяснила, почему потеряла многоразовую ступень ракеты New Glenn при первом запуске 8 ч.
Arm намерена занять 50 % рынка чипов для ЦОД к концу 2025 года — NVIDIA ей в этом поможет 9 ч.
Bharti Airtel подключила Мумбаи к мировой сети с помощью кабеля 2Africa Pearls с пропускной способностью 100 Тбит/с 9 ч.
Европа технически готова построить суперколлайдер будущего, который будет втрое больше БАКа 9 ч.