Subaru sigurnosna ranjivost

AUTOR ·

Kada je riječ o oblasti povezanih vozila, značajna bezbjednosna ranjivost otkrivena je u Subaru STARLINK povezanoj usluzi vozila. Ova ranjivost, koju su otkrili sigurnosni istraživači Sam Curry i Shubham Shah u novembru 2024. godine, izložila je sva Subaru vozila i naloge klijenata u Sjedinjenim Američkim Državama, Kanadi i Japanu potencijalnom daljinskom preuzimanju, daljinskom praćenju i krađi podataka na daljinu.

Subaru

Subaru sigurnosna ranjivost; Source: Bing Image Creator

SUBARU RANJIVOST

Otkrivena ranjivost u Subaru STARLINK povezanoj usluzi vozila može omogućiti zlonamjernim akterima da otključaju, pokrenu, zaustave i prate bilo koje Subaru vozilo koristeći minimalne lične podatke. To znači da bi zaposleni radnik iz jednog kraja države mogao potencijalno da traži informacije o naplati vozila u drugom dijelu države bez izazivanja bilo kakve uzbune. Implikacije su dalekosežne, jer je ova vrsta podataka veoma dragocjena za kradljivce automobila, nezadovoljne bivše partnere, pa čak i za obavještajne agencije.

Ranjivost je otkrivena tokom revizije mobilne aplikacije MySubaru, koja omogućava korisnicima da daljinski kontrolišu svoja vozila. Uprkos detaljnom ispitivanju korišćenjem Burp Suite alata za presretanje telematičkih zahteva, sigurnosni istraživači u početku nisu pronašli neposredne bezbjednosne praznine. Međutim, nakon dalje istrage, otkrili su slabost koju bi zlonamjerni akteri mogli iskoristiti.

Ranjivost je proistekla iz nedostatka adekvatnih mjera autentifikacije za pristup osjetljivim podacima vozila. To je značilo da je zlonamjernom akteru bio potreban samo minimalan broj ličnih podataka da bi dobio neovlašteni pristup sistemu Subaru vozila. Kada uđe, potencijalno bi mogao da ukrade vrijedne podatke kao što su istorija lokacija, obrasci vožnje, pa čak i lični detalji povezani sa vlasnikom naloga.

 

Detalji ranjivosti

Otkrivena ranjivost je omogućila neovlašteni pristup admin panelu servisa, kojem bi trebalo da pristupe samo zaposleni, koji je smješten na poddomenu subarucs.com. Nakon istraživanja JavaScript datoteka koje koristi ovaj poddomen, sigurnosni istraživači su otkrili zabrinjavajući problem: zlonamjerni akter bi potencijalno mogao da promjeni lozinku bilo kog zaposlenog bez potrebe za tokenom za potvrdu. To znači da ako je skripta funkcionisala kako je napisana u JavaScript kôdu, zlonamjerni akter bi mogao da preuzme nalog zaposlenog jednostavnim unošenjem važeće adrese elektronske pošte zaposlenog.

Nakon što su sigurnosni istraživači identifikovali legitimnu elektronsku poštu zaposlenog korištenjem LinkedIn platforme, nastavili su da resetuju lozinku i uklonili preklapanje na strani klijenta iz korisničkog okruženja (eng. user interface) kako bi zaobišli autentifikaciju u dva koraka. Ovo im je omogućilo pun pristup funkcionalnosti administrativnog panela.

Sigurnosni istraživači su potvrdili da STARLINK administrativna tabla ima potencijalni pristup skoro svakom Subaru vozilu u Sjedinjenim Američkim Državama, Kanadi i Japanu. Administrativni panel im je omogućio da vide osjetljive informacije o ovim vozilima, kao što su istorijski podaci o lokaciji, broj šasije i razne druge detalje. Pored toga, mogli su da pristupe i informacijama o klijentima kao što su prezime, poštanski broj, broj telefona, adresa elektronske pošte i informacije o plaćanjima.

Sigurnosni istraživači su shvatili da je administrativni panel omogućio dodjelu ili modifikaciju pristupa automobilima, u suštini omogućavajući preuzimanje vozila bez ikakvih preduslova i bez upozorenja vlasnika automobila o ovoj akciji. Zlonamjerni akter sa pristupom administrativnom panelu mogao bi da preuzme kontrolu nad Subaru vozilom jednostavnim dodavanjem sebe kao ovlašćenog korisnika na nalog ciljanog vozila, ne izazivajući nikakvo obavještenje od strane sistema o svojim neovlaštenim radnjama.

 

Subaru odgovor

Ozbiljnost ove ranjivosti je naglašena njenim potencijalom da izazove široku štetu bez ostavljanja tragova. Kao rezultat toga, korporaciji Subaru je teško da utvrdi da li je ranjivost zlonamjerno iskorištena pre nego što je otkrivena. Međutim, s obzirom na prirodu takvih napada, razumno je pretpostaviti da je zlonamjerni akter, ako je bio svjestan ove ranjivosti, mogao da je iskoristi bez ostavljanja vidljivih dokaza.

Na sreću, korporacija Subaru je brzo reagovala kako bi riješila problem, ispravivši ovu ranjivost grešku u roku od 24 sati od obavještenja od strane sigurnosnih istraživača. Ovaj brzi odgovor pokazuje posvećenost proizvođača automobila bezbjednosti kupaca. Međutim, ovaj incident služi kao važan podsjetnik o potencijalnim rizicima povezanim sa povezanim automobilima i važnosti snažnih mjera sajber bezbjednosti u zaštiti i vozila i putnika u njima.

 

UTICAJ

Ranjivost koju su otkrili sigurnosni istraživači u Subaru STARLINK povezanoj usluzi vozila nije izolovan incident. Prošle godine u novembru sigurnosni istraživači su otkrili otkrili potencijalne ranjivosti u Mazda Connect informaciono-zabavnom sistemu. A tu su i informacije koje je uzbunjivač dostavio njemačkom hakerskom kolektivu Chaos Computer Computer i Der Spiegel magazinu u decembru prošle godine, a koje se odnose na Cariad softversku kompaniju. Ova kompanija, koja je u partnerstvu sa kompanijom Volkswagen, ostavila detaljne podatke o lokaciji za 800.000 električnih vozila javno izložene na mreži.

Sve ovo naglašava šire pitanje privatnosti u povezanim automobilima. Kako vozila postaju sve više povezana sa internetom stvari (eng. internet of things – IoT), ona prikupljaju više podataka o korisnicima nego ikada ranije. Ovi podaci mogu uključivati sve, od obrazaca vožnje do istorije lokacija, koji se mogu koristiti za ciljano oglašavanje ili čak prodati trećim licima bez saglasnosti. Zbog toga se skreće pažnja da su moderni automobili noćna mora za privatnost zbog nedostatka kontrole date vlasnicima u pogledu podataka koje prikupljaju i prava proizvođača automobila da prodaju ili dijele takve informacije bez saglasnosti.

Navedene ranjivosti i loše čuvanje podataka naglašavaju potrebu za jačim propisima o privatnosti u automobilskoj industriji. Trenutno, 92% modernih automobila vlasnicima automobila daje malu ili nikakvu kontrolu nad podacima koje prikupljaju, a 84% zadržava pravo da prodaje ili dijeli podatke, prema izvještaju Mozilla fondacije. Ovaj nedostatak transparentnosti i kontrole predstavlja značajnu zabrinutost za zagovornike privatnosti koji tvrde da korisnici treba da imaju mogućnost da odlučuju koji podaci se o njima prikupljaju i kako se koriste.

 

ZAKLJUČAK

Otkriće kritičnih bezbjednosnih ranjivosti u Subaru STARLINK povezanoj usluzi vozila izazvalo je značajnu zabrinutost u pogledu privatnosti i zaštite podataka. Ranjivost, koja je omogućila potencijalnu daljinsku otmicu, praćenje i krađu podataka svih Subaru vozila i korisničkih naloga u Sjedinjenim Američkim Državama, Kanadi i Japanu, Subaru je odmah otklonio. Odgovor je bio brz, ali transparentnost u vezi sa njihovim postupcima sa podacima i dalje je neophodna. Korisnici treba da budu informisani o tome koji podaci se prikupljaju, kako se koriste i ko im ima pristup. Štaviše, kompanije moraju osigurati da imaju snažne sigurnosne mjere kako bi zaštitile ove osjetljive informacije od potencijalnih prijetnji. Sve ovo samo naglašava šire pitanje: prikupljanje i skladištenje osjetljivih korisničkih podataka od strane proizvođača automobila.

Ranjivost je otkrila ne samo potencijal za neovlašteni pristup sistemima vozila, već je pokrenula i pitanja o pristupu zaposlenih podacima o lokaciji korisnika. Iako je Subaru potvrdio da određeni zaposleni mogu da pristupe podacima o lokaciji na osnovu njihovog značaja, kao što je dijeljenje lokacije vozila sa službama za prvu pomoć u slučaju sudara, ostaje zabrinutost oko toga koliko se ove informacije čuvaju i stavljaju na raspolaganje ovim pojedincima. Ovaj incident služi kao podsjetnik na važnost sajber bezbjednosti u međusobno povezanijem svetu. Kako se sve više uređaja povezuje, od zvona na vratima i satova do automobila, ključno je da proizvođači daju prioritet privatnosti i bezbjednosnim mjerama kako bi zaštitili korisničke podatke.

U svetu u kome inovacije pokreću tehnološki napredak brzinom bez presedana, ključno je i za proizvođače i za korisnike da daju prioritet privatnosti i bezbjednosti. Kako se nastavlja sa povezivanjem sve više uređaja na internet, potrebno je primjenjivati oprez protiv potencijalnih ranjivosti i raditi na stvaranju sigurnijeg digitalnog okruženja za sve. Subaru incident služi kao još jedna opomena, naglašavajući potrebu za povećanom transparentnošću, jačim propisima i poboljšanim mjerama sajber bezbjednosti u automobilskoj industriji.

 

ZAŠTITA

Kako bi se korisnici zaštitili od potencijalnih bezbjednosnih nedostataka u povezanim automobilima, ključno je razumjeti rizike i primijeniti odgovarajuće mjere za poboljšanu bezbjednost:

  1. Potrebno je da se korisnici upoznaju sa karakteristikama sistema povezivanja vozila, uključujući STARLINK i da budu u toku sa svim prijavljenim ranjivostima ili ažuriranjima iz kompanije Subaru. Ovo će omogućiti da se blagovremeno identifikuju potencijalne prijetnje i preduzimaju odgovarajuće mjere;
  2. Potrebno je obezbijediti korisnički nalog postavljanjem jakih lozinki i omogućavanjem autentifikaciju u dva koraka (eng. two-factor authentication – 2FA). Autentifikaciju u dva koraka dodaje još jedan sloj sigurnosti tako što zahteva drugi oblik verifikacije, kao što je kôda poslat putem tekstualne poruke, elektronske pošte ili korištenjem aplikacije za autentifikaciju, pored lozinke kada se vrši prijava na STARLINK. Ovo otežava pristup podacima i kontrolama vozila neovlaštenim osobama;
  3. Primjenjivati oprez u vezi sa informacijama koje se dijele sa aplikacijama trećih strana povezanih sa automobilom. Davati samo dozvole neophodne za njihovu predviđenu funkciju i opozvati ih ako više nisu potrebne. Pored toga, uvjeriti se da ove aplikacije imaju dokazanu evidenciju bezbjednosnih praksi i da se redovno ažuriraju kako bi se riješile sve potencijalne ranjivosti;
  4. Održavati softver vozila ažurnim. Redovna ažuriranja ne samo da poboljšavaju performanse automobila već i popravljaju sve identifikovane bezbjednosne propuste. Subaru će obično obavijestiti kada ažuriranje bude dostupno, stoga je potrebno odmah instalirali ove ispravke kako bi se rizici sveli na minimum;
  5. Razmisliti o ulaganju u hardverski uređaj dizajniran za bezbjednost vozila. Ovi uređaji mogu da nadgledaju i štite mrežu povezanog automobila od potencijalnih prijetnji, pružajući dodatni sloj zaštite pored ugrađenih mjera koje pruža Subaru;
  6. Primjenjivati oprez prilikom korištenja javne Wi-Fi mreže za pristup STARLINK nalogu ili daljinsko upravljanje automobilom. Javne mreže možda nemaju isti nivo bezbjednosti kao kućna mreža i mogu potencijalno izložiti podatke vozila neovlaštenim stranama. Ako je moguće, koristiti virtualnu privatnu mrežu (eng. virtual private network – VPN) za dodatnu zaštitu u ovakvim situacijama;

Veoma je važno naglasiti da krajnja odgovornost leži na proizvođačima automobila kao što je Subaru da daju prioritet bezbjednosti automobila i brizi o privatnosti. Potrošači imaju moć i treba da zahtijevaju bolje mjere bezbjednosti u svojim vozilima. Potrebno je ohrabriti kompaniju Subaru da primjeni dozvole zasnovane na lokaciji, ovlašćenje za uključivanje/isključivanje podataka o klijentima i robusne bezbjednosne protokole za sprečavanje neovlaštenog pristupa sistemima vozila.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.