Foi encontrada uma falha no software da Subaru que possibilitou desbloquear, ligar e monitorar remotamente milhões de carros.

Os pesquisadores de segurança cibernética Sam Curry e Shubham Shah descobriram vulnerabilidades no sistema de infoentretenimento Starlink da Subaru (não associado ao provedor de satélite SpaceX) que poderiam permitir o sequestro do controle parcial de um carro e o monitoramento de seus movimentos.

Fonte da imagem: subaru.com

Os especialistas conseguiram hackear o sistema Starlink por meio do portal da Subaru. Ao repetir suas ações, um potencial invasor tem a oportunidade de abrir o carro, tocar a buzina, ligar o motor e também reatribuir essas funções a qualquer telefone ou PC. Também foi descoberto que o sistema tem a capacidade de rastrear a localização de um carro Subaru – não apenas onde ele está atualmente, mas também o histórico de seus movimentos. O hack foi feito usando o exemplo de um carro da mãe do Sr. Curry – ele via no sistema todas as suas idas ao médico, para visitar amigos e até a vaga de estacionamento onde ela deixava o carro quando ia à igreja. A vulnerabilidade descoberta pelos especialistas era válida para sistemas Subaru Starlink nos EUA, Canadá e Japão.

Os especialistas estabeleceram o nome de domínio do recurso por meio do qual é realizado o controle remoto das funções do veículo. Depois de estudar o site, eles encontraram uma maneira de obter privilégios administrativos: ao coletar o endereço de e-mail de um funcionário, eles redefiniram sua senha. Para isso, o sistema solicitou a resposta a duas questões de segurança, mas elas foram verificadas por um script local no navegador do usuário, e não no servidor Subaru, e não foi difícil contornar tal proteção. No LinkedIn, eles descobriram o e-mail do desenvolvedor do Subaru Starlink, invadiram sua conta no portal de administração e descobriram que ele tinha acesso para pesquisar qualquer proprietário de Subaru por nome, CEP, endereço de e-mail, número de telefone ou número da placa – encontrando o carro eles estavam procurando, eles estavam acessando a configuração do Starlink.

Curry e Shah relataram suas descobertas à Subaru no final de novembro, e a montadora rapidamente tomou medidas para corrigir as vulnerabilidades. Isso resolveu o problema de segurança, mas deixou um problema de privacidade: mesmo que potenciais invasores perdessem a capacidade de interceptar funções de controle de veículos e ler o histórico de movimentação de veículos, os funcionários da Subaru ainda poderiam fazer tudo isso. A empresa confirmou que os seus colaboradores têm acesso a todas estas funções, mas garantiu que recebem formação adequada e assinam acordos de sigilo; na prática, eles supostamente têm acesso à localização do carro para reportá-lo aos socorristas caso o sistema detecte um acidente.

O facto de a Subaru monitorizar os movimentos dos seus carros mostra que já não existem garantias de privacidade em toda a indústria automóvel, aponta Sam Curry. Assim, supõe-se que um funcionário do Google não consiga ler a correspondência dos usuários do Gmail e, na Subaru, o histórico de movimentos dos veículos está aberto aos funcionários da empresa. Anteriormente, soube-se que dados semelhantes sobre carros do Grupo VW foram disponibilizados ao público devido às ações de Cariad, membro da preocupação.

avalanche

Postagens recentes

“Senti que estava desmoronando”: Os desenvolvedores principais de Suicide Squad: Kill the Justice League quase abandonaram a indústria após o fracasso do jogo.

O fracasso do jogo de ação cooperativo da Rocksteady Studios, Suicide Squad: Kill the Justice…

2 horas atrás

OxygenOS e Realme UI serão relegados ao passado – OnePlus e Realme migrarão para o ColorOS.

O OxygenOS e a Realme UI não serão mais usados ​​nos novos modelos de smartphones…

2 horas atrás

IFixit criará um padrão unificado para a reparabilidade de eletrônicos nos EUA.

A iFixit, em parceria com a NSF, organização global independente de serviços, iniciou o desenvolvimento…

2 horas atrás

A Epic Games Store revelou os planos da Square Enix para expansões da história de Final Fantasy VII Revelation.

Embora a editora Square Enix já tenha dividido o remake do cultuado RPG japonês Final…

3 horas atrás

Cyberpunk 2077 vendeu mais de 40 milhões de cópias nos cinco anos e meio desde o seu lançamento.

As vendas de Cyberpunk 2077 ultrapassaram 40 milhões de cópias, anunciaram os desenvolvedores do RPG…

3 horas atrás

A Alibaba proibiu seus funcionários de usar o assistente de programação Claude Code, da Anthropic.

Após a American Anthropic acusar a Alibaba, da China, de extrair, ou efetivamente roubar, dados…

3 horas atrás