Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen

In dit artikel:

Subaru heeft een ernstige beveiligingskwetsbaarheid verholpen in zijn Starlink-adminpanel, waardoor het mogelijk was om bijna alle Subaru-voertuigen in de VS, Canada en Japan op afstand te starten en te stoppen, en om persoonlijke gegevens van gebruikers te verkrijgen. Deze kwetsbaarheid werd ontdekt door hackers Sam Curry en Shubham Shah in november vorig jaar. Ze vonden een bug in Subaru's Starlink-platform, dat de multimediafuncties van de voertuigen beheert, en publiceerden hun bevindingen in een blogpost, inclusief een proof of concept.

De onderzoekers ontdekten via een inlogportaal voor medewerkers een manier om in te loggen zonder authenticatie, door een specifieke reset-functie te gebruiken die geen beveiliging vereiste. Hierdoor konden ze met alleen de kentekenplaat en de Amerikaanse staat de accounts van Subaru-eigenaren inzien. Dit gaf hen toegang tot functies zoals het ontgrendelen van de auto en het bedienen van de claxon en lichten.

Daarnaast hadden ze toegang tot gevoelige informatie, waaronder locatiedata en persoonlijke informatie van gebruikers, zoals namen, adressen en telefoonnummers. Subaru reageerde snel op dit beveiligingsprobleem en loste het binnen een dag op na melding door de onderzoekers.