Фахівці виявили вразливість, яка дозволяла захоплювати чужі облікові записи в сервісі Starlink компанії Subaru. В результаті зловмисники могли відстежувати, контролювати і зламувати автомобілі в США, Канаді та Японії, знаючи, наприклад, тільки їх номерний знак.

Цього разу дослідники виявили вразливості у веб-порталі Subaru, які в результаті дозволяли дистанційно відкрити чужий автомобіль, посигналити і включити запалювання, перепризначивши управління цими функціями на будь-який телефон або комп’ютер.

У підсумку дослідники знайшли адресу електронної пошти розробника Subaru Starlink в LinkedIn, захопили його акаунт і виявили, що можуть використовувати отриманий доступ для пошуку будь-якого власника автомобіля Subaru за прізвищем, поштовим індексом, email-адресою, номером телефону або номерним знаком.

Управління функціями Starlink давало доступ до всіх даних про місцезнаходження автомобіля, які доступні співробітникам, включаючи місцезнаходження машини при кожному запуску двигуна.

За словами експертів, ці вразливості підвищували ризики викрадення авто. Наприклад, зловмисник міг вибрати жертву, дізнатися місцезнаходження її автомобіля, а потім розблокувати авто в потрібний момент. Хоча для викрадення злодієві довелося б додатково відключити іммобілайзер.

«У Subaru of America є співробітники, які можуть отримати доступ до даних про місцезнаходження відповідно до їх посадових обов’язків. Всі ці особи проходять відповідне навчання і при необхідності підписують відповідні угоди про конфіденційність, безпеку і NDA. У наших системах використовуються рішення для моніторингу безпеки, які постійно вдосконалюються для протидії сучасним кіберзагрозам», — заявили в компанії.