Os pesquisadores de segurança cibernética Sam Curry e Shubham Shah descobriram vulnerabilidades no sistema de infoentretenimento Starlink da Subaru (não associado ao provedor de satélite SpaceX) que poderiam permitir o sequestro do controle parcial de um carro e o monitoramento de seus movimentos.
Fonte da imagem: subaru.com
Os especialistas conseguiram hackear o sistema Starlink por meio do portal da Subaru. Ao repetir suas ações, um potencial invasor tem a oportunidade de abrir o carro, tocar a buzina, ligar o motor e também reatribuir essas funções a qualquer telefone ou PC. Também foi descoberto que o sistema tem a capacidade de rastrear a localização de um carro Subaru – não apenas onde ele está atualmente, mas também o histórico de seus movimentos. O hack foi feito usando o exemplo de um carro da mãe do Sr. Curry – ele via no sistema todas as suas idas ao médico, para visitar amigos e até a vaga de estacionamento onde ela deixava o carro quando ia à igreja. A vulnerabilidade descoberta pelos especialistas era válida para sistemas Subaru Starlink nos EUA, Canadá e Japão.
Os especialistas estabeleceram o nome de domínio do recurso por meio do qual é realizado o controle remoto das funções do veículo. Depois de estudar o site, eles encontraram uma maneira de obter privilégios administrativos: ao coletar o endereço de e-mail de um funcionário, eles redefiniram sua senha. Para isso, o sistema solicitou a resposta a duas questões de segurança, mas elas foram verificadas por um script local no navegador do usuário, e não no servidor Subaru, e não foi difícil contornar tal proteção. No LinkedIn, eles descobriram o e-mail do desenvolvedor do Subaru Starlink, invadiram sua conta no portal de administração e descobriram que ele tinha acesso para pesquisar qualquer proprietário de Subaru por nome, CEP, endereço de e-mail, número de telefone ou número da placa – encontrando o carro eles estavam procurando, eles estavam acessando a configuração do Starlink.
Curry e Shah relataram suas descobertas à Subaru no final de novembro, e a montadora rapidamente tomou medidas para corrigir as vulnerabilidades. Isso resolveu o problema de segurança, mas deixou um problema de privacidade: mesmo que potenciais invasores perdessem a capacidade de interceptar funções de controle de veículos e ler o histórico de movimentação de veículos, os funcionários da Subaru ainda poderiam fazer tudo isso. A empresa confirmou que os seus colaboradores têm acesso a todas estas funções, mas garantiu que recebem formação adequada e assinam acordos de sigilo; na prática, eles supostamente têm acesso à localização do carro para reportá-lo aos socorristas caso o sistema detecte um acidente.
O facto de a Subaru monitorizar os movimentos dos seus carros mostra que já não existem garantias de privacidade em toda a indústria automóvel, aponta Sam Curry. Assim, supõe-se que um funcionário do Google não consiga ler a correspondência dos usuários do Gmail e, na Subaru, o histórico de movimentos dos veículos está aberto aos funcionários da empresa. Anteriormente, soube-se que dados semelhantes sobre carros do Grupo VW foram disponibilizados ao público devido às ações de Cariad, membro da preocupação.