Subaru abrió un error de seguridad vacío, aunque fue parcheado, había muchos problemas de privacidad de los vehículos modernos. Investigadores de seguridad Sam Curry y Shubham Shah Reportado Sus investigaciones (Por Cableado) Sobre el portal web de empleados fácilmente pirateado. Después de acceder, pudieron controlar el vehículo de prueba de forma remota y ver los valiosos datos de posición durante un año. Advierten que Subaru no está solo para tener seguridad de relajación en torno a los datos del vehículo.

Después de que los analistas de seguridad informaron a Subaru, la compañía rápidamente entregó el robo. Afortunadamente, los investigadores dicen que no ha habido violación antes. Los empleados autorizados de Subaru todavía dicen que el historial de ubicación de los propietarios solo se puede acceder con la misma parte de la siguiente información: el apellido del empleador, el código PIN, la dirección de correo electrónico, el número de teléfono o la placa.

Hacked Administrative Portal es parte de las características de conectividad en la suite Starlink de Subaru. . Navegador web, no servidores Subaru. También se saltaron una autenticación de dos factores por “la tarea simple que podemos pensar: la superposición del lado del cliente de la interfaz de usuario”.

Aunque las pruebas de los investigadores han retirado la ubicación del vehículo de prueba durante un año, no pueden rechazar la posibilidad de que los empleados autorizados de Subaru caigan aún más. Debido a que el auto de prueba (2023 Subaru Impreza Curry lo compró para su madre, lo compró con la condición de que pudiera piratearlo) durante mucho tiempo. Los datos de ubicación no se normalizan a un terreno ancho: es preciso por menos de 17 pies y se actualiza cada vez que comienza el motor.

“Después de buscar y descubrir mi propio vehículo en el tablero, Starlink Admin Dashboard ha confirmado que Subaru debería tener acceso a cualquier Subaru en los Estados Unidos, Canadá y Japón”. “Queríamos verificar que no teníamos nada que perder, por lo que habíamos llegado a una amiga y nos preguntamos si podíamos piratear su automóvil para demostrar que no había precedentes o características que hubieran sido evitadas por un vehículo completo. Había enviado su vehículo a su vehículo.

Además de rastrear su ubicación, el portal de administración permitió a los investigadores comenzar, detener, bloquear y desbloquear a los investigadores. Dijeron que la madre de Curry se había agregado como clientes autorizados, o que no tenía advertencias cuando desbloqueó su automóvil.

También pueden cuestionar y recuperar información personal para cualquier cliente, incluidos sus contactos de emergencia, usuarios autorizados, dirección de vivienda, su tarjeta de crédito y los últimos cuatro dígitos del pin del vehículo. Además, pudieron acceder al historial de llamadas de apoyo de los propietarios y a los propietarios anteriores del vehículo, el historial de lectura y ventas de Omometer.

En una declaración a Egadget, el director de comunicaciones de Subaru, Dominic Infant, escribió: “Subaru of America, Inc. Los investigadores de seguridad independientes han sido informados de vulnerabilidad en su servicio Starlink, lo que probablemente permitirá el acceso tercero a las cuentas de Starlink. El mismo día que Subaru frenó la vulnerabilidad y nunca se accedió a los vehículos Subaru o los datos del cliente sin autoridad. Los investigadores independientes pudieron acceder a dos cuentas de un miembro de la familia y un amigo que les dio autoridad. “

Subaru insistió en que sus autos no conducían remotamente y que la compañía no vendería datos de posición. También establece que solo algunos empleados pueden acceder a los datos de ubicación del conductor según el trabajo v.

Los investigadores de seguridad están rastreando y fallas de seguridad, surge un solo empleado de la capacidad de acceder a “una tonelada de información personal”, no exclusiva de Subaru. Cableado El trabajo anterior de Curry y Shah ha expuesto deficiencias similares que afectan a los vehículos de Akura, Genesis, Honda, Hyundai, Infinity, Kia, Toyota y otros.

La pareja cree que existe una seria preocupación por el seguimiento de ubicación de la industria y las malas medidas de seguridad. Curry escribe: “La industria automotriz, que puede cuestionar la información de facturación de un vehículo en California, es única, y realmente no establece horas de alarma en California”. “Esto es parte de su trabajo diario normal. Todos los empleados tienen acceso a información personal y confían en toda la creencia. Es realmente difícil asegurar estos sistemas cuando ese acceso tan amplio está integrado en el sistema de forma predeterminada”.

El Informe completo de investigadores Vale la pena leer.

Actualización, 24 de enero de 2025, 1:07 PM ET: Esta historia se ha actualizado para agregar una declaración de Subaru.

Source link