L'exploit di sicurezza nel software automobilistico Subaru consente agli hacker di accedere completamente ai veicoli

Man mano che l'industria automobilistica diventa sempre più intelligente e connessa, cresce il numero di vulnerabilità di sicurezza. Un nuovo rapporto descrive nei dettagli quanto possano essere vulnerabili le auto connesse.

Un ricercatore di sicurezza di nome Sam Curry ha recentemente pubblicato un post sul blog che descrive come lui e un collega (Shubham Shah) siano riusciti a compromettere il sistema software Starlink utilizzato dalle auto Subaru. Starlink alimenta il centro di infotainment dei veicoli Subaru e consente agli utenti di controllare a distanza le loro auto registrate, il che può includere il blocco/sblocco a distanza del veicolo e l'avviamento.

Curry ha spiegato che un exploit nella pagina di login dei dipendenti Subaru per il sistema Starlink gli ha permesso di identificare un indirizzo e-mail valido del dipendente, di cambiare la password del dipendente e di aggirare qualsiasi tipo di autenticazione a due fattori per accedere.

Una volta entrato nel sistema Starlink, Curry si è reso conto di poter localizzare qualsiasi veicolo Subaru registrato tramite uno dei seguenti elementi: nome del cliente, numero di telefono, indirizzo e-mail o numero di identificazione del veicolo (VIN) (si noti che i VIN possono essere facilmente trovati tramite una targa). Altre informazioni disponibili includevano dati di fatturazione, contatti di emergenza e altro ancora.

Non solo questi dati personali erano facilmente raggiungibili, ma anche la cronologia della posizione del veicolo nell'ultimo anno era disponibile e, secondo Curry, facile da scaricare e tracciare. Questi dati sulla posizione includevano un orario, il contachilometri del veicolo e le coordinate GPS (con una precisione di circa 5 metri).

Forse la cosa più allarmante è che Curry è riuscito a trovare l'auto di un amico nel database e ad aggiungere le sue credenziali personali come utente autorizzato di Starlink a quel veicolo. Una volta aggiunto, ha potuto controllare l'auto a distanza. Questo gli ha permesso di bloccare e sbloccare l'auto, avviarla a distanza e determinare la sua posizione. L'utente Starlink interessato non ha ricevuto alcuna notifica che un altro utente era stato aggiunto all'account Starlink dell'auto.

Sembra che da allora Subaru abbia applicato una patch alla vulnerabilità, che Curry ha scoperto nel novembre 2024. Per merito loro, la casa automobilistica ha rilasciato una patch entro 24 ore dalla ricezione della segnalazione di Curry. Il post di Curry serve a ricordare che, per quanto intelligenti siano le nostre auto, possono ancora essere molto vulnerabili ai ladri e ad altri malintenzionati.

Acquisti un tracker auto CARLOCK 4G OBD su Amazon.