أدى ضعف الأمن في سوبارو إلى سهولة الوصول إلى مجموعات كبيرة من بيانات السيارة

تركت سوبارو ثغرة أمنية كبيرة مفتوحة، والتي، على الرغم من تصحيحها، تكشف عن مشكلات الخصوصية التي لا تعد ولا تحصى في المركبات الحديثة. الباحثون الأمنيون سام كاري وشوبهام شاه ذكرت النتائج التي توصلوا إليها (عبر سلكي) حول بوابة ويب للموظفين يمكن اختراقها بسهولة. وبعد الحصول على إمكانية الوصول، تمكنوا من التحكم عن بعد في مركبة اختبارية وعرض بيانات الموقع لمدة عام. ويحذرون من أن سوبارو ليست الوحيدة التي تتمتع بتراخي الأمان فيما يتعلق ببيانات السيارة.

وبعد أن أبلغ محللو الأمن سوبارو، قامت الشركة بسرعة بتصحيح الثغرة. ولحسن الحظ، يقول الباحثون إن المتسللين الأقل أخلاقيًا لم يخترقوا هذا النظام قبل ذلك الحين. لكنهم يقولون إن موظفي Subaru المعتمدين لا يزال بإمكانهم الوصول إلى سجل مواقع المالكين باستخدام جزء واحد فقط من المعلومات التالية: الاسم الأخير للمالك أو الرمز البريدي أو عنوان البريد الإلكتروني أو رقم الهاتف أو لوحة الترخيص.

أرسل Engadget بريدًا إلكترونيًا إلى Subaru للتعليق، وسنقوم بتحديث هذه القصة إذا سمعنا ردًا.

كانت بوابة الإدارة المخترقة جزءًا من مجموعة ميزات الاتصال Starlink من Subaru. (لا علاقة لها بخدمة الإنترنت عبر الأقمار الصناعية SpaceX التي تحمل الاسم نفسه.) دخل كاري وشاه من خلال العثور على عنوان البريد الإلكتروني لموظف Subaru Starlink على LinkedIn وإعادة تعيين كلمة مرور العامل بعد تجاوز سؤالين أمنيين مطلوبين – لأنه حدث في حساب المستخدم النهائي متصفح الويب، وليس خوادم سوبارو. لقد تجاوزوا أيضًا المصادقة الثنائية من خلال القيام “بأبسط شيء يمكن أن نفكر فيه: إزالة التراكب من جانب العميل من واجهة المستخدم”.

على الرغم من أن اختبارات الباحثين تتبعت موقع مركبة الاختبار قبل عام واحد، إلا أنهم لا يستطيعون استبعاد إمكانية قيام موظفي سوبارو المعتمدين بالتجسس مرة أخرى إلى أبعد من ذلك. ذلك لأن السيارة الاختبارية (سيارة سوبارو إمبريزا كاري 2023 التي اشتراها لوالدته بشرط أن يتمكن من اختراقها) كانت قيد الاستخدام لفترة طويلة فقط. لم يتم تعميم بيانات الموقع على مساحة واسعة من الأرض أيضًا: كانت دقيقة إلى أقل من 17 قدمًا ويتم تحديثها في كل مرة يبدأ فيها المحرك.

كتب كاري: “بعد البحث عن سيارتي الخاصة والعثور عليها في لوحة القيادة، أكدت أن لوحة تحكم مسؤول Starlink يجب أن تتمتع بإمكانية الوصول إلى أي سيارة سوبارو تقريبًا في الولايات المتحدة وكندا واليابان”. “أردنا التأكد من عدم وجود أي شيء مفقود، لذلك تواصلنا مع صديقة وسألناها عما إذا كان بإمكاننا اختراق سيارتها لإثبات عدم وجود شرط مسبق أو ميزة من شأنها أن تمنع في الواقع الاستيلاء على السيارة بالكامل. لقد أرسلت لنا لوحة ترخيصها، وقمنا بسحب سيارتها في لوحة الإدارة، ثم أضفنا أنفسنا في النهاية إلى سيارتها.

بالإضافة إلى تتبع موقعهم، سمحت بوابة الإدارة للباحثين ببدء تشغيل وإيقاف وقفل وفتح أي مركبة سوبارو متصلة بـ Starlink عن بعد. قالوا إن والدة كاري لم تتلق أبدًا أي إشعارات بأنهم أضافوا أنفسهم كمستخدمين مصرح لهم، كما أنها لم تتلق تنبيهات عندما فتحوا قفل سيارتها.

يمكنهم أيضًا الاستعلام عن المعلومات الشخصية لأي عميل واستردادها، بما في ذلك جهات اتصال الطوارئ والمستخدمين المعتمدين وعنوان المنزل وآخر أربعة أرقام من بطاقة الائتمان الخاصة بهم ورقم التعريف الشخصي للمركبة. بالإضافة إلى ذلك، تمكنوا من الوصول إلى سجل مكالمات دعم المالك والمالكين السابقين للسيارة وقراءة عداد المسافات وسجل المبيعات.

يقول الباحثون الأمنيون إن إخفاقات التتبع والأمن – الناجمة عن قدرة موظف واحد على الوصول إلى “كمية كبيرة من المعلومات الشخصية” – ليست فريدة من نوعها بالنسبة لشركة سوبارو. سلكي ويشير إلى أن عمل كاري وشاه السابق كشف عن عيوب مماثلة تؤثر على المركبات من أكورا وجينيسيس وهوندا وهيونداي وإنفينيتي وكيا وتويوتا وغيرها.

يعتقد الزوجان أن هناك سببًا للقلق الشديد بشأن تتبع موقع الصناعة وضعف الإجراءات الأمنية. وكتب كاري: “إن صناعة السيارات فريدة من نوعها حيث يمكن لموظف يبلغ من العمر 18 عامًا من تكساس الاستعلام عن معلومات الفواتير الخاصة بمركبة في كاليفورنيا، ولن يطلق ذلك أي أجراس إنذار حقًا”. “إنه جزء من وظيفتهم اليومية العادية. يتمتع جميع الموظفين بإمكانية الوصول إلى الكثير من المعلومات الشخصية، ويعتمد الأمر برمته على الثقة. يبدو من الصعب حقًا تأمين هذه الأنظمة عندما يكون هذا الوصول الواسع مدمجًا في النظام افتراضيًا.

ال التقرير الكامل للباحثين يستحق القراءة.