Paul Arends
Subaru heeft een beveiligingslek blootgelegd dat, hoewel inmiddels opgelost, de vele privacyproblemen van moderne voertuigen aan het licht brengt. Beveiligingsonderzoekers Sam Curry en Shubham Shah hebben hun bevindingen gerapporteerd (via Wired) op een gemakkelijk te hacken werknemerswebportaal van Subaru. Nadat ze toegang hadden gekregen, konden ze op afstand een testvoertuig besturen en de locatiegegevens van een jaar bekijken. Ze waarschuwen dat Subaru niet de enige is met slechte beveiliging van voertuiggegevens.
Nadat beveiligingsanalisten Subaru op de hoogte hadden gebracht, heeft het bedrijf het lek snel gedicht. Gelukkig zeggen onderzoekers dat onethische hackers het niet eerder hebben kunnen misbruiken. Maar ze waarschuwen dat geautoriseerde Subaru-werknemers nog steeds toegang hebben tot de locatiegeschiedenis van eigenaren met slechts een van de volgende gegevens: achternaam van de eigenaar, postcode, e-mailadres, telefoonnummer of kenteken.
Het gehackte beheerdersportaal maakte deel uit van de Starlink-suite van Subaru met connectiviteitsfuncties. Curry en Shah slaagden erin het e-mailadres van een Subaru Starlink-medewerker op LinkedIn te vinden en het wachtwoord van de medewerker opnieuw in te stellen door beveiligingsvragen te omzeilen die in het adres van de eindgebruiker stonden, niet op Subaru-servers. Ze konden ook tweefactorauthenticatie omzeilen door “het eenvoudigste te doen wat we konden bedenken: de overlay aan de clientzijde uit de gebruikersinterface te verwijderen.”
Hoewel de onderzoekers de locatie van het testvoertuig een jaar geleden hebben kunnen traceren, kunnen ze niet uitsluiten dat geautoriseerde Subaru-werknemers nog verder terug kunnen kijken. De locatiegegevens waren nauwkeurig tot op 5 meter en werden bij elke motorstart bijgewerkt.
Het beheerdersportaal stelde onderzoekers in staat elk Subaru-voertuig op afstand te starten, stoppen, vergrendelen en ontgrendelen. Curry’s moeder ontving nooit meldingen dat ze als geautoriseerde gebruikers waren toegevoegd en kreeg ook geen waarschuwingen bij het ontgrendelen van haar auto.
Subaru benadrukte dat hun auto’s niet op afstand bestuurbaar zijn en dat het bedrijf geen locatiegegevens verkoopt. Alleen bepaalde werknemers hebben toegang tot locatiegegevens op basis van hun functie.
Beveiligingsonderzoekers wijzen erop dat de fouten in tracking en beveiliging nauwelijks uniek zijn voor Subaru. Wired merkt op dat eerdere bevindingen van Curry en Shah vergelijkbare problemen hebben blootgelegd bij voertuigen van andere merken.
Curry en Shah benadrukken de ernstige bezorgdheid over locatietracking en slechte beveiligingsmaatregelen in de auto-industrie. Ze vinden het zorgwekkend dat medewerkers vrij gemakkelijk toegang hebben tot persoonlijke informatie en dat systemen moeilijk echt te beschermen zijn wanneer zulke brede toegang standaard is ingebouwd.
Het volledige rapport van de onderzoekers bevat meer details over hun bevindingen.
BRON
