ΑρχικήSecurityΕυπάθεια του Subaru Starlink εξέθεσε αυτοκίνητα σε hacking

Ευπάθεια του Subaru Starlink εξέθεσε αυτοκίνητα σε hacking

Μια ευπάθεια στην υπηρεσία “Starlink Connected Vehicle” της Subaru επέτρεπε ανεξέλεγκτη πρόσβαση στους λογαριασμούς πελατών σε ΗΠΑ, Καναδά και Ιαπωνία, σύμφωνα με τον ερευνητή ασφαλείας Sam Curry.

Δείτε επίσης: Hackers διέρρευσαν configs και VPN credentials για 15.000 συσκευές FortiGate

Subaru Starlink

Το Starlink, το σύστημα ενημέρωσης και ψυχαγωγίας των οχημάτων Subaru, διέθετε δυνατότητα απομακρυσμένης λειτουργίας, η οποία ήταν προσβάσιμη μέσω μιας πύλης διαχειριστή. Αυτή η πύλη προοριζόταν αποκλειστικά για χρήση από εξουσιοδοτημένους εργαζόμενους.

Advertisement

Μαζί με τον ερευνητή ασφαλείας Shubham Shah, ο Curry ανακάλυψε ότι ο πίνακας διαχείρισης φιλοξενούνταν σε έναν υποτομέα του subarucs.com και αφού βρήκε τα αρχεία JavaScript που χρησιμοποιούσε ο υποτομέας, ανακάλυψε ότι ο κωδικός πρόσβασης για τον λογαριασμό οποιουδήποτε υπαλλήλου μπορούσε να αλλάξει χωρίς διακριτικό επιβεβαίωσης.

Αφού εντόπισαν ένα έγκυρο email υπαλλήλου, οι ερευνητές επανέφεραν τον κωδικό πρόσβασης και στη συνέχεια αφαίρεσαν την επικάλυψη από την πλευρά του πελάτη από τη διεπαφή χρήστη, για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος τους παρείχε πρόσβαση στη λειτουργικότητα του πίνακα.

Η πρόσβαση στον πίνακα διαχείρισης του Subaru Starlink, τους επέτρεψε να βλέπουν πληροφορίες οχήματος, συμπεριλαμβανομένων δεδομένων ιστορικού τοποθεσίας, αριθμού VIN και άλλων δεδομένων, καθώς και πληροφορίες πελατών, όπως επώνυμο, ταχυδρομικό κώδικα, αριθμό τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου και πληροφορίες χρέωσης.

Δείτε ακόμα: CFIUS: Κινέζοι hackers παραβίασαν το κυβερνητικό γραφείο

Επιπλέον, οι ερευνητές διαπίστωσαν ότι μέσω του πίνακα διαχείρισης είχαν τη δυνατότητα να παραχωρούν ή να τροποποιούν πρόσβαση σε οχήματα. Αυτό πρακτικά σημαίνει ότι μπορούσαν να αποκτήσουν πλήρη έλεγχο των αυτοκινήτων χωρίς καμία προϋπόθεση και χωρίς να ειδοποιηθεί ο ιδιοκτήτης.

Ένας εισβολέας που αποκτά πρόσβαση στον πίνακα διαχείρισης θα μπορούσε να πάρει τον έλεγχο ενός οχήματος, απλώς προσθέτοντας τον εαυτό του ως εξουσιοδοτημένο χρήστη. Το ανησυχητικό είναι ότι ο ιδιοκτήτης του οχήματος δεν θα λάβει καμία ειδοποίηση σχετικά με αυτήν την ενέργεια.

Εκτός από το ότι τους επιτρέπει να αναζητούν πληροφορίες για οποιοδήποτε όχημα και πελάτη, αυτό το επίπεδο πρόσβασης στον πίνακα διαχείρισης του Subaru Starlink επέτρεψε επίσης στους ερευνητές να ξεκινήσουν, να σταματήσουν, να κλειδώσουν και να ξεκλειδώσουν από απόσταση ένα όχημα-στόχο, λέει ο Curry.

Ο Curry ανέφερε την ευπάθεια στη Subaru στις 20 Νοεμβρίου 2024 και η αυτοκινητοβιομηχανία αντιμετώπισε το ελάττωμα ασφαλείας εντός 24 ωρών από τη λήψη της αναφοράς.

Δείτε επίσης: ΗΠΑ: Οι Κινέζοι hackers Silk Typhoon πίσω από το hack του Υπουργείου Οικονομικών;

Το Hacking είναι η διαδικασία κατά την οποία κάποιος αποκτά μη εξουσιοδοτημένη πρόσβαση σε ηλεκτρονικά συστήματα ή δίκτυα, με σκοπό την εκμετάλλευση, τροποποίηση ή υποκλοπή δεδομένων. Υπάρχουν διάφοροι τύποι hacking, όπως το ethical hacking, που στοχεύει στη βελτίωση της ασφάλειας, αλλά και το κακόβουλο hacking, που μπορεί να προκαλέσει ζημιές ή κλοπή πληροφοριών. Η κατανόηση των μεθόδων και των κινδύνων του hacking είναι κρίσιμη για την προστασία προσωπικών και επιχειρηματικών δεδομένων στον ψηφιακό κόσμο.

Πηγή: securityweek

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS