A legújabb, pár éves autók tulajdonosai már meg kell barátkozzanak az állandó online kapcsolattal. A legfrissebb típusok internetről kapják a legújabb frissítéseket a fedélzeti rendszerekre, és így tudjuk egy applikáción keresztül, távolról elérni az autót, megnézni a státuszát, és akár beállításokat is elvégezni.
Így van ez a Subaru típusok esetén is, ami a Starlink rendszerét használja. Ez követi az autó helyzetét is, ami szükséges ha baleset vagy lerobbanás következik be. Előnyös, ha baj van, de bajt is okozhat, ezek a rendszerek ugyanis feltörhetők.
Erre mutatott rá elég fájdalmas módon két etikus hekker, Sam Curry és Shubham Shah, akik egy komoly biztonsági rést fedeztek fel a Starlink adminisztrációs felületén. Ezen keresztül a hekkerek hozzáférhettek a Subar- alkalmazottak felhasználói fiókjaihoz, és így be tudtak lépni az egyes autókat online elérő alrendszerekbe.
Aggodalomra ad okot, hogy így követni tudták az autó helyzetét egész egy évre visszamenőleg, és tudták kezelni a tipikus Starlink-funkciókat, többek között a központi zárat is.
A sebezhetőség feltárásához jelentős mennyiségű JavaScript-kód elemzése kellett, azonban a támadás lehetőségét a Subaru-alkalmazottak fiókjai adták. A két etikus hekker a MySubaru alkalmazás kommunikációs adataiban talált egy hivatkozást a Starlink adminisztrációs portálhoz, és felfedezték, hogy az ügyfélfiókok jelszavát vissza lehetett állítani a fióktulajdonos megerősítése nélkül.
Az így elért adminisztrációs panel teljes hozzáférést biztosított bármely Subaru járműhöz az Egyesült Államokban, Kanadában és Japánban. Ehhez csupán az adott jármű alvázszáma kellett, amelyet Curry és Shah könnyedén megszerezhettek rendszámok alapján. Ez azt jelenti, hogy elméletileg bármely Subaru jármű, amelynek rendszáma látható volt az utcán, hozzáférhetővé vált ezzel a sebezhetőséggel.
Természetesen, mivel Curry és Shah a jó oldalon nyomja a billentyűket, így nyilvánosságra hozták a sebezhetőséget: tavaly novemberben értesítették a vállalatot a problémáról, amelyet a Subaru 24 órán belül meg is oldott.
Azonban továbbra is kérdés, hogy létezhetnek-e más módszerek a Starlink adminisztrációs panelhez való illetéktelen hozzáféréshez, amelyekről a vállalat még nem tud. Továbbá felmerül a kérdés, hogy más, hasonlóan csatlakoztatott autós rendszerek is küzdhetnek-e hasonló problémákkal.
