Subaru hat eine klaffende Sicherheitslücke offen gelassen, die zwar gepatcht ist, aber die unzähligen Datenschutzprobleme moderner Autos offenlegt. Die Sicherheitsforscher Sam Curry und Shubham Shah gemeldet ihre Erkenntnisse (über Verdrahtet) über ein einfach zu hackendes Mitarbeiter-Webportal. Nachdem sie Zugang erhalten hatten, konnten sie ein Testfahrzeug aus der Ferne fahren und die Standortdaten eines Jahres einsehen. Sie warnen, dass Subaru bei weitem nicht der Einzige ist, der die Sicherheit seiner Fahrzeugdaten lax anwendet.
Nachdem Sicherheitsanalysten Subaru benachrichtigt hatten, reparierte das Unternehmen den Exploit schnell. Glücklicherweise sagen die Forscher, dass weniger ethische Hacker es vorher nicht gehackt hätten. Sie sagen jedoch, dass autorisierte Subaru-Mitarbeiter weiterhin mit nur einer einzigen der folgenden Informationen auf den Standortverlauf des Besitzers zugreifen können: Nachname, Postleitzahl, E-Mail-Adresse, Telefonnummer oder Nummernschild des Besitzers.
Engadget hat Subaru per E-Mail um einen Kommentar gebeten und wir werden diese Geschichte aktualisieren, wenn wir etwas hören.
Das gehackte Admin-Portal war Teil der Starlink-Konnektivitätssuite von Subaru. (Kein Bezug zum SpaceX-Satelliten-Internetdienst Curry und Shah kamen herein, indem sie die E-Mail-Adresse eines Subaru Starlink-Mitarbeiters auf LinkedIn fanden und das Passwort des Mitarbeiters zurücksetzten, nachdem sie zwei erforderliche Sicherheitsfragen umgangen hatten – weil dies im Webbrowser des Mitarbeiters beim Endbenutzer und nicht auf den Servern von Subaru stattfand . Sie umgingen auch die Zwei-Faktor-Authentifizierung, indem sie „das Einfachste taten, was wir uns vorstellen konnten: das clientseitige Overlay von der Benutzeroberfläche entfernen.“
Obwohl die Tests den Standort des Testfahrzeugs ein Jahr zurückverfolgen konnten, können sie die Möglichkeit nicht ausschließen, dass autorisierte Subaru-Mitarbeiter noch weiter zurückspionieren könnten. Das liegt daran, dass der Testwagen (ein 2023 Subaru Impreza (Curry kaufte es für seine Mutter unter der Bedingung, dass er es hacken konnte) war nur eine begrenzte Zeit in Gebrauch. Die Standortdaten wurden auch nicht auf einen weiten Landstreifen verallgemeinert: Sie waren auf 5,5 Meter genau und wurden jedes Mal aktualisiert, wenn der Motor startete.
„Nachdem ich mein eigenes Auto-Armaturenbrett gesucht und gefunden hatte, bestätigte ich, dass das Starlink-Verwaltungs-Dashboard Zugriff auf praktisch jeden Subaru in den Vereinigten Staaten, Kanada und Japan haben sollte“, schrieb Curry. „Wir wollten bestätigen, dass uns nichts entgangen ist, also kontaktierten wir eine Freundin und fragten, ob wir uns in ihr Auto hacken könnten, um nachzuweisen, dass es keine Anforderung oder Funktion gab, die eine vollständige Übernahme des Fahrzeugs tatsächlich hätte verhindern können. Sie schickte uns ihr Kennzeichen, wir stellten ihr Fahrzeug in das Admin-Panel und fügten uns schließlich zu ihrem Auto hinzu.
Zusätzlich zur Standortverfolgung ermöglichte das Admin-Portal den Forschern, jedes mit Starlink verbundene Subaru-Fahrzeug aus der Ferne zu starten, anzuhalten, zu verriegeln und zu entriegeln. Sie sagten, Currys Mutter habe nie eine Benachrichtigung darüber erhalten, dass sie sich als autorisierte Benutzer hinzugefügt hätten, und sie habe auch keine Benachrichtigung erhalten, als sie ihr Auto aufgeschlossen hätten.
Sie können außerdem persönliche Informationen von jedem Kunden anfordern und abrufen, einschließlich seiner Notfallkontakte, autorisierten Benutzer, seiner Privatadresse, der letzten vier Ziffern seiner Kreditkarte und der Fahrzeug-PIN. Darüber hinaus hatten sie Zugriff auf die Support-Anrufhistorie des Besitzers, die Vorbesitzer des Fahrzeugs, den Kilometerstand und die Verkaufshistorie.
Die Sicherheitsforscher sagen, dass die Tracking- und Sicherheitslücken, die darauf zurückzuführen sind, dass ein einzelner Mitarbeiter auf „viele persönliche Informationen“ zugreifen kann, kaum nur bei Subaru auftreten. Verdrahtet stellt fest, dass die frühere Arbeit von Curry und Shah ähnliche Mängel bei Fahrzeugen von Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota und anderen aufgedeckt hat.
Die beiden glauben, dass es Grund gibt, ernsthafte Bedenken hinsichtlich der Standortverfolgung der Branche und der unzureichenden Sicherheitsmaßnahmen zu äußern. „Die Autoindustrie ist insofern einzigartig, als ein 18-jähriger Mitarbeiter aus Texas Rechnungsinformationen für ein Fahrzeug in Kalifornien anfordern kann, ohne wirklich Alarmglocken läuten zu lassen“, schrieb Curry. „Es gehört zu ihrer normalen täglichen Arbeit. Die Mitarbeiter haben alle Zugriff auf viele persönliche Informationen, und das Ganze hängt vom Vertrauen ab. Es scheint sehr schwierig zu sein, diese Systeme wirklich abzusichern, wenn ein so umfassender Zugriff standardmäßig in das System integriert ist.“
Der Der vollständige Bericht der Forscher ist lesenswert.
