Δύο ερευνητές ασφαλείας στις Ηνωμένες Πολιτείες Αμερικής κατάφεραν να αποκτήσουν πρόσβαση στην πλατφόρμα διαχείρισης συστημάτων της Subaru μέσω μιας σχετικά απλής μεθόδου. Μέσω αυτής της πρόσβασης, μπόρεσαν να ελέγξουν εξ αποστάσεως οχήματα της εταιρείας στις ΗΠΑ, τον Καναδά και την Ιαπωνία. Παράλληλα, ανακάλυψαν ότι η Subaru διατηρούσε λεπτομερή δεδομένα τοποθεσίας για τουλάχιστον έναν χρόνο.
Οι λεπτομέρειες αυτής της επίθεσης δημοσιεύθηκαν από τον ειδικό ασφαλείας Σαμ Κάρι τον Νοέμβριο του 2024. Η αυτοκινητοβιομηχανία διόρθωσε το πρόβλημα εντός 24 ωρών, ωστόσο η επίθεση αποκάλυψε τις δυνατότητες ελέγχου που διατηρούν οι κατασκευαστές αυτοκινήτων στα οχήματα που πωλούν, κάτι που ομολογουμένως φαντάζει εξαιρετικά τρομακτικό για το τι θα μπορούσε να κάνει κάποιος κακοπροαίρετος.
Πλήρης έλεγχος από απόσταση
Οι ερευνητές κατάφεραν να αποκτήσουν τον πλήρη έλεγχο των οχημάτων εξ αποστάσεως, αρκεί να γνώριζαν βασικές πληροφορίες, όπως το επώνυμο του ιδιοκτήτη, τον ταχυδρομικό του κώδικα, τη διεύθυνση email, τον αριθμό τηλεφώνου ή τον αριθμό κυκλοφορίας του αυτοκινήτου. Η πρόσβαση επιτεύχθηκε μέσω ενός portal που χρησιμοποιούν υπάλληλοι της Subaru. Εκμεταλλεύθηκαν ένα σενάριο JavaScript για επαναφορά κωδικού πρόσβασης, παρακάμπτοντας την αυθεντικοποίηση δύο παραγόντων με απλή τροποποίηση του script.
Μέσω της πρόσβασης αυτής, οι επιτιθέμενοι μπορούσαν:
- Να εκκινήσουν ή να σταματήσουν τον κινητήρα του οχήματος.
- Να κλειδώσουν ή να ξεκλειδώσουν το όχημα.
- Να εντοπίσουν το όχημα με ακρίβεια πέντε μέτρων.
- Να δουν πότε και πού είχε ενεργοποιηθεί ο κινητήρας τον τελευταίο χρόνο.
- Να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα των χρηστών, όπως διευθύνσεις, στοιχεία επαφών και ιστορικό αγοράς ή πώλησης του οχήματος.
Η επίθεση δοκιμάστηκε, μεταξύ άλλων, στο αυτοκίνητο της μητέρας του Σαμ Κάρι, το οποίο ο ίδιος της είχε αγοράσει υπό την προϋπόθεση να μπορεί αργότερα να το χακάρει για ερευνητικούς σκοπούς.
Η αντίδραση της Subaru
Μετά την ενημέρωση από τους ερευνητές, η Subaru διόρθωσε το κενό ασφαλείας μέσα σε 24 ώρες. Ωστόσο, η επίθεση ανέδειξε ευρύτερα ζητήματα ασφάλειας που συνδέονται με την αυξανόμενη διασύνδεση των αυτοκινήτων μέσω του διαδικτύου. Παρόμοιες παραβιάσεις έχουν καταγραφεί και στο παρελθόν σε άλλα συνδεδεμένα οχήματα.
Αυτό που προκάλεσε ιδιαίτερη ανησυχία είναι η ανακάλυψη ότι η Subaru αποθηκεύει λεπτομερή δεδομένα τοποθεσίας για τουλάχιστον δώδεκα μήνες. Σύμφωνα με τον Κάρι, η μητέρα του είχε το αυτοκίνητο αυτό για έναν χρόνο, διάστημα κατά το οποίο κάθε τοποθεσία όπου ενεργοποιήθηκε ο κινητήρας είχε καταγραφεί.
Η Subaru δήλωσε ότι μόνο εξειδικευμένοι υπάλληλοι μπορούν να έχουν πρόσβαση σε αυτά τα δεδομένα, τα οποία χρησιμοποιούνται, για παράδειγμα, για να καθοδηγήσουν σωστικά συνεργεία σε περίπτωση ατυχήματος. Παρόλα αυτά, ο Κάρι τόνισε ότι η διατήρηση δεδομένων τοποθεσίας για τόσο μεγάλο διάστημα δεν είναι απαραίτητη για τέτοιου είδους χρήσεις. Η εταιρεία δεν αποκάλυψε για πόσο χρονικό διάστημα διατηρούνται τα δεδομένα.
Προβληματισμοί και συμπεράσματα
Η συγκεκριμένη υπόθεση αναδεικνύει τη λεπτή ισορροπία ανάμεσα στις δυνατότητες που παρέχει η τεχνολογία και στα ζητήματα ιδιωτικότητας και ασφάλειας που προκύπτουν. Οι αυτοκινητοβιομηχανίες φαίνεται να διατηρούν σημαντικό έλεγχο στα οχήματά τους, ακόμη και μετά την πώλησή τους, γεγονός που εγείρει ερωτήματα σχετικά με τη χρήση και την προστασία των δεδομένων των καταναλωτών.
Μέτρα προστασίας που πρέπει να θεσπιστούν:
- Ενίσχυση της ασφάλειας: Η εφαρμογή πιο αυστηρών μέτρων, όπως η αυθεντικοποίηση δύο παραγόντων, είναι κρίσιμη για την προστασία των συστημάτων διαχείρισης.
- Περιορισμός της συλλογής δεδομένων: Οι αυτοκινητοβιομηχανίες θα πρέπει να περιορίσουν τη συλλογή και αποθήκευση δεδομένων τοποθεσίας μόνο σε όσα είναι απαραίτητα.
- Διαφάνεια: Οι καταναλωτές έχουν δικαίωμα να γνωρίζουν ποια δεδομένα συλλέγονται και πώς χρησιμοποιούνται.
Η υπόθεση της Subaru αποτελεί ένα ισχυρό μήνυμα για τις εταιρείες που αναπτύσσουν διασυνδεδεμένα συστήματα. Η προστασία των προσωπικών δεδομένων πρέπει να παραμένει στο επίκεντρο κάθε τεχνολογικής εξέλιξης.
