En sårbarhet i Subarus tjänster gjorde det möjligt för hackare att låsa upp bilar och spåra förarnas resehistorik
I slutet av förra året upptäckte forskare ett allvarligt säkerhetshål i Subarus interna webbtjänst och bilsystem, Subaru Starlink. Det öppnade upp för full tillgång till företagets kunders personuppgifter, inklusive platshistorik, nödkontakter, samtalshistorik med mera.
Här är vad vi vet
Cybersecurity-forskarna Sam Curry och Shubham Shah upptäckte sårbarheten i november 2024 när de undersökte Currys mors Subaru Impreza 2023, som han hade köpt ett år tidigare. Curry berättade Wired i en kommentar att han hade fått tillgång till minst ett års värde av bilens exakta platshistorik och annan känslig information.
Forskarna kunde logga in på Subarus webbplats under ett hackat konto för en anställd på företaget. På så sätt kunde de ta kontroll över bilarnas Starlink-funktioner och få tillgång till en stor mängd personuppgifter, inklusive kundens namn, nödkontakter, samtalshistorik, hemadress och till och med bilens PIN-kod. De kunde också fjärrlåsa upp bilen och starta den. Allt de behövde var offrets efternamn tillsammans med bilens registreringsnummer, ägarens postnummer, telefonnummer eller e-postadress.
Till Subarus kredit finns denna sårbarhet inte längre. Dessutom fixade biltillverkaren kryphålet för angriparna på mindre än 24 timmar efter att ha meddelats om det. Enligt to Sam Curry är problemet dock inte bara att obehöriga kan få tillgång till bilar, utan att i stort sett alla anställda hos fordonstillverkaren har full tillgång till användarnas känsliga information. Detta gäller förmodligen inte bara Subaru, utan bilindustrin som helhet.
Källa: Wired
