Специалист по кибербезопасности Сэм Карри решил проверить, насколько надёжно защищены автомобили Subaru, и обнаружил уязвимость, которую компания, по его словам, устранила лишь на следующий день после уведомления. В ходе исследования Карри выяснил, что владелец любой машины с системой Starlink мог даже не подозревать, что сторонний человек получил доступ к его авто — причём дистанционно. Хуже всего то, что хакеры могли не только следить за перемещениями автомобиля за целый год с точностью до пяти метров, но и разблокировать его, а при желании запустить двигатель.
Всё началось с попытки найти уязвимости в официальном приложении MySubaru, но там Карри ничего не обнаружил. Тогда он переключился на внутренние приложения для сотрудников, где, как показала его предыдущая практика, часто хранятся расширенные права. Совместно с другом он выявил один из сервисов для работников Subaru, нашёл уязвимую процедуру сброса пароля, подобрал электронный адрес реального сотрудника и обошёл двухфакторную аутентификацию, которая работала лишь на стороне клиента.

Получив доступ к административной панели, исследователи нашли функцию «Last Known Location». Потребовалось только ввести фамилию и почтовый индекс владельца автомобиля, чтобы узнать все его поездки за прошедший год. Кроме того, достаточно было добавить новую учётную запись к конкретной машине — и можно было удалённо послать команду на разблокировку. Владельцу Subaru при этом не приходило никакого уведомления.
Карри незамедлительно оповестил Subaru о найденной проблеме, и компания закрыла дыру в системе, заверив, что данных об использовании уязвимости кем-то ещё нет. Тем не менее исследователь отмечает, что подобные просчёты в автомобильной индустрии уже не редкость: достаточно вспомнить модели других марок, где также обнаруживались проблемы в сервисах удалённого доступа. Нередко сотрудники автопроизводителя получают слишком широкие полномочия, при этом система защиты ориентирована на доверие к внутренним процессам, а не на строгие меры контроля.

Случай с Subaru наглядно демонстрирует, что даже популярные бренды с собственными приложениями для связи с автомобилем не могут гарантировать абсолютную безопасность. По словам Карри, главная опасность в том, что когда права сотрудника компании могут распространяться и на машины других регионов, простая ошибка в коде даёт потенциальному злоумышленнику доступ к миллионам транспортных средств.
Ещё по теме:
- 40 лет назад компания Apple представила LaserWriter — принтер собственного производства
- Автономный ИИ-программист Devin не оправдал ожиданий
- Кто убедил Трампа помиловать создателя Silk Road