باحثو الأمن: يمكننا أن نبدأ عن بعد ، تتبع سوباروس

وجد زوجان من الباحثين الأمنية وسيلة لبدء وتتبع ملايين سيارات سوبارو عن بعد ، حتى في كل مكان سافرت المركبات في العام قبل الاختراق ، وتقارير سلكية. يقول سوبارو إنه قد أصلح بالفعل الضعف الذي وجده الزوج.

لكن تقرير Wired’s Bombshell يلفت المزيد من الاهتمام للقضية المتزايدة المتمثلة في خصوصية السائق والأمن حيث تنمو السيارات بشكل أكبر بالإنترنت.

أبلغ المتسللون وايت هات عن العيب

لم يحاول باحثو الأمن سام كاري وشوبهام شاه التنازل عن أمن أي شخص. كان الزوج بمثابة ما يسمى المتسللين قبعة بيضاء. لقد عملوا على اختبار أمن سوبارو والإبلاغ عن نتائجهم إلى الشركة قبل أن يتمكن أي شخص من الاستفادة منها.

تم الإبلاغ عن Wired في هذه المسألة فقط بعد أن أغلق سوبارو الضعف الذي وجده الزوج.

في بيان ، يقول سوبارو ، “تم إغلاق الضعف على الفور ، ولم يتم الوصول إلى معلومات العميل على الإطلاق دون إذن.”

ومع ذلك ، اعترفت الشركة بـ Wired أنه لا يزال بإمكان موظفي Subaru استخدام System Curry و Shah يستكشفونه لتتبع سيارات العملاء.

وقالت الشركة: “هناك موظفون في سوبارو أمريكا ، بناءً على صلة وظيفتهم ، الذين يمكنهم الوصول إلى بيانات الموقع”. “كل هؤلاء الأفراد يتلقون تدريبًا مناسبًا ويطلبون توقيع اتفاقيات الخصوصية والأمن و NDA المناسبة حسب الحاجة.” تقول الشركة إن الموظفين يستخدمون الوصول إلى خدمة العملاء ، مثل إخطار خدمات الطوارئ في حالة وقوع حادث.

خدمة ويب مع عدم كفاية الأمان

في منشور المدونة ، يشرح الزوجان أنهم وجدوا تطبيق MySubaru الخاص بالشركة. “بدا كل شيء مضمونًا بشكل صحيح. لم يكن هناك الكثير من نقاط النهاية. لقد عمل التفويض بشكل جيد حقًا ، “يكتبون.

لكنهم كانوا قادرين على الخروج بسهولة من عنوان الويب الخاص ببابة الويب التي يستخدمها سوبارو لإدارة أنظمة المعلومات والترفيه في المركبات. لقد وجدوا طريقة خلفية لإعادة تعيين كلمات المرور إلى الموقع والبحث عبر الإنترنت عن عنوان البريد الإلكتروني لموظف سوبارو لاستخدامه كتسجيل دخول.

بشكل لا يصدق ، لم يكونوا بحاجة إلى واحدة. كان تسجيل الدخول الذي نجح لهم هو jdoe@subaru.com ، وهو بالتأكيد عنوان اختبار.

إعادة تعيين كلمة المرور هذه ، حصلوا على وصول إداري.

يمكن أن يبدأوا السيارات ، وقرون التزويد ، والأهم من ذلك ، رؤية تاريخ الموقع

بمجرد دخوله ، يمكن للزوج الوصول إلى Subarus مع الاسم الأخير للمالك والرمز البريدي أو عنوان البريد الإلكتروني أو رقم الهاتف أو لوحة الترخيص. لأسباب أخلاقية ، استخدموا سوبارو والدة كاري بإذنها.

يقول Wired ، إن الوصول إلى الموقع ، دع Curry و Shah “يفتحان السيارة ، ورفع قرنها ، وبدء إشعالها ، وإعادة تعيين هذه الميزات إلى أي هاتف أو كمبيوتر اختاروها.” بشكل أكثر إثارة للخوف ، “يمكنهم أيضًا تتبع موقع سوبارو – ليس فقط المكان الذي كان فيه في الوقت الحالي ولكن أيضًا حيث كانت والدته تملكها. يقول كاري ، إن خريطة مكان وجود السيارة كانت دقيقة للغاية ومفصلة ، إلى أنه كان قادرًا على رؤية زيارات الطبيب ، ومنازل الأصدقاء الذين زارتهم ، حتى مكان لوقوف السيارات الذي كانت والدته متوقفة في كل مرة ذهبت فيها إلى الكنيسة. “

أخبر كاري Wired ، “هناك مليون طريقة يمكنك من خلالها تسليح هذا ضد شخص ما.”

يمكن للباحثين أيضًا التحقيق في حسابات العملاء ، والزوج يكتب ، وعرض جهات اتصالهم في حالات الطوارئ ، والعنوان المادي ، ومعلومات الفواتير (وإن لم تكن أرقام بطاقات الائتمان الكاملة).

مخاوف الخصوصية القادمة بانتظام لشركات صناعة السيارات

أصبحت تقارير رفيعة المستوى عن التهديدات الأمنية للسائقين شائعة الآن بشكل مزعج.

في عام 2023 ، أطلق باحثو الخصوصية من مؤسسة موزيلا على السيارات الأقل أمانًا إلى المنتج الذي اختبروه على الإطلاق.

أبرز تقرير 2024 في نيويورك تايمز كيف يمكن للشركاء المسيئين استخدام السيارات بسهولة لتتبع ضحاياهم.

هذه المشكلة معقدة قانونًا بما يكفي لدرجة أن صناعة السيارات نفسها طلبت من الكونغرس التدخل.

الكاري ليس جديدًا في اكتشاف نقاط الضعف في السيارات. لقد كان وراء جهد عام 2022 استخدم SiriusXM لاختراق السيارات من العديد من الشركات ومشروع 2023 أظهر كيف يمكن أن يستخدم الملاحقون لوحات الترخيص الرقمية في كاليفورنيا لتتبع ضحاياهم.

نحن نشجع القراء على التأكد من أن أي بوابات ويب يستخدمونها للاتصال بسياراتهم لديها تحديد هوية ثنائية العوامل. لكن هذا لن يكون قد يحمي مالكي سوبارو في هذه الحالة ، عندما تضمنت الضعف بوابة إدارية للموظف.

يلاحظ سلكي أن اتحاد المستهلك في كاليفورنيا “سعى إلى إنشاء تشريعات للحد من تتبع بيانات السيارة.”