Subaru membiarkan kelemahan keamanan besar yang, meskipun telah ditambal, mengungkap masalah privasi kendaraan modern yang tak terhitung jumlahnya. Peneliti keamanan Sam Curry dan Shubham Shah dilaporkan temuan mereka (melalui pemasangan kabel) tentang portal web karyawan yang mudah diretas. Setelah mendapatkan akses, mereka dapat mengendalikan kendaraan uji dari jarak jauh dan melihat data lokasi selama satu tahun. Mereka memperingatkan bahwa Subaru bukan satu-satunya yang memiliki lemahnya keamanan data kendaraan.
Setelah analis keamanan memberi tahu Subaru, perusahaan tersebut dengan cepat menambal eksploitasi tersebut. Untungnya, para peneliti mengatakan bahwa ini belum pernah dibobol oleh peretas yang tidak etis. Namun mereka mengatakan karyawan resmi Subaru masih dapat mengakses riwayat lokasi pemilik hanya dengan informasi berikut: nama belakang pemilik, kode pos, alamat email, nomor telepon atau plat nomor.
Engadget telah mengirim email kepada Subaru untuk memberikan komentar dan kami akan memperbarui cerita ini jika kami mendengarnya kembali.
Portal manajemen yang diretas adalah bagian dari rangkaian fitur konektivitas Starlink Subaru. (Tidak ada hubungannya dengan Layanan internet satelit SpaceX dengan nama yang sama.) Curry dan Shah menerobos dengan menemukan alamat email karyawan Subaru Starlink di LinkedIn dan mengatur ulang kata sandi pekerja tersebut setelah melewati dua pertanyaan keamanan yang diperlukan, karena itu terjadi di browser web pengguna akhir, bukan di server Subaru. Mereka juga melewati autentikasi dua faktor dengan melakukan “hal paling sederhana yang dapat kami pikirkan: menghapus overlay sisi klien dari UI”.
Meskipun bukti penyelidik melacak lokasi kendaraan uji tersebut setahun yang lalu, mereka tidak dapat mengesampingkan kemungkinan bahwa karyawan resmi Subaru dapat mengintai lebih jauh. Itu karena mobil uji (tahun 2023 Subaru Impreza Curry membelikannya untuk ibunya dengan syarat dia bisa meretasnya) itu hanya digunakan selama itu. Data lokasi juga tidak dapat digeneralisasikan pada wilayah yang luas: Data tersebut akurat hingga kurang dari 17 kaki dan diperbarui setiap kali mesin dihidupkan.
“Setelah mencari dan menemukan kendaraan saya sendiri di dasbor, saya mengonfirmasi bahwa panel admin Starlink seharusnya memiliki akses ke hampir semua Subaru di Amerika Serikat, Kanada, dan Jepang,” tulis Curry. “Kami ingin memastikan bahwa kami tidak melewatkan apa pun, jadi kami menghubungi seorang teman dan bertanya apakah kami dapat meretas mobilnya untuk membuktikan bahwa tidak ada prasyarat atau fitur yang menghalangi kami untuk membeli kendaraan tersebut sepenuhnya. Dia mengirimkan plat nomornya kepada kami, kami menghentikan kendaraannya di panel admin dan akhirnya menambahkan diri kami ke mobilnya.”
Selain melacak lokasinya, portal manajemen memungkinkan para peneliti untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan Subaru yang terhubung dengan Starlink dari jarak jauh. Mereka mengatakan ibu Curry tidak pernah menerima pemberitahuan bahwa mereka telah ditambahkan sebagai pengguna resmi, juga tidak menerima peringatan ketika mobilnya tidak terkunci.
Mereka juga dapat melihat dan mengambil informasi pribadi pelanggan, termasuk kontak darurat, pengguna resmi, alamat rumah, empat digit terakhir kartu kredit, dan PIN kendaraan. Selain itu, mereka dapat mengakses riwayat panggilan dukungan pemilik kendaraan dan pemilik sebelumnya, pembacaan odometer, dan riwayat penjualan.
Peneliti keamanan mengatakan kelemahan pelacakan dan keamanan, yang berasal dari kemampuan seorang karyawan untuk mengakses “banyak informasi pribadi”, tidak hanya terjadi pada Subaru. pemasangan kabel mencatat bahwa penelitian Curry dan Shah sebelumnya mengungkap kelemahan serupa yang mempengaruhi kendaraan dari Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota dan lain-lain.
Pasangan ini yakin ada alasan untuk sangat khawatir terhadap pelacakan lokasi industri dan langkah-langkah keamanan yang buruk. “Industri otomotif memiliki keunikan karena seorang karyawan berusia 18 tahun di Texas dapat mencari informasi penagihan untuk kendaraan di California, dan itu tidak akan menimbulkan kekhawatiran apa pun,” tulis Curry. “Itu adalah bagian dari pekerjaan normal mereka sehari-hari. Seluruh karyawan memiliki akses terhadap sejumlah besar informasi pribadi dan semuanya didasarkan pada kepercayaan. Tampaknya sangat sulit untuk mengamankan sistem ini ketika akses luas seperti itu sudah tertanam dalam sistem secara default.”
Dia laporan lengkap peneliti Ini layak dibaca.
