Уязвимость в системе Subaru STARLINK позволяла злоумышленникам, зная лишь минимальные данные о владельце (фамилия, почтовый индекс), получать полный контроль над автомобилем, включая его удаленный запуск, блокировку, отслеживание местоположения в реальном времени и доступ к годовой истории поездок с точностью до 5 метров.
Кроме этого, через эту уязвимость можно было получить доступ к личным данным владельцев, включая контактную информацию, историю звонков, сведения о предыдущих владельцах, показания одометра, финансовые данные и PIN-код автомобиля. Злоумышленник мог добавлять себя как авторизованного пользователя автомобиля без каких-либо уведомлений владельца.
Система оказалась уязвимой из-за недостатков в админ-панели. Оказалось возможным сбросить пароль любого сотрудника, зная лишь его электронную почту, без какой-либо дополнительной авторизации. Используя метод перебора, удалось найти почту сотрудника, и далее, после обхода двухфакторной аутентификации, получить доступ к админ-панели.
Полученный доступ открывал возможности по захвату любого автомобиля Subaru, подключенного к STARLINK, в США, Канаде и Японии. Уязвимость была оперативно устранена в течение 24 часов после обнаружения, однако инцидент поднял серьезные вопросы о безопасности автомобильных систем, их доступности и конфиденциальности пользовательских данных.
Изображение носит иллюстративный характер
Кроме этого, через эту уязвимость можно было получить доступ к личным данным владельцев, включая контактную информацию, историю звонков, сведения о предыдущих владельцах, показания одометра, финансовые данные и PIN-код автомобиля. Злоумышленник мог добавлять себя как авторизованного пользователя автомобиля без каких-либо уведомлений владельца.
Система оказалась уязвимой из-за недостатков в админ-панели. Оказалось возможным сбросить пароль любого сотрудника, зная лишь его электронную почту, без какой-либо дополнительной авторизации. Используя метод перебора, удалось найти почту сотрудника, и далее, после обхода двухфакторной аутентификации, получить доступ к админ-панели.
Полученный доступ открывал возможности по захвату любого автомобиля Subaru, подключенного к STARLINK, в США, Канаде и Японии. Уязвимость была оперативно устранена в течение 24 часов после обнаружения, однако инцидент поднял серьезные вопросы о безопасности автомобильных систем, их доступности и конфиденциальности пользовательских данных.
