szerző:
HVG
Tetszett a cikk?
autó

Komoly sebezhetőséget talált két kutató a Subaru rendszereiben, minden védelem kijátszhatónak bizonyult.

Amin szoftver fut, az feltörhető. Akkor is, ha az történetesen egy modern autó. A közelmúltban a Volkswagen-konszernnek is meggyűlt már a baja ezzel, és most a Subaruról derült ki, hogy súlyos sebezhetőségek voltak a rendszereiben.

Mint a Wired jelentéséből kiderül, egy éve két biztonsági kutató – Sam Curry és Shubham Shah – felfedezett egy olyan sérülékenységet a japán autógyártó webes felületén, ami lehetővé tette, hogy eltérítsék az autó vezérlését; valós időben tudták követni a járművek pozícióját, ki tudták nyitni a központi zárat, de még a motort is be tudták indítani. A kutatók jelentették a problémát a gyártó felé, mely azóta be is foltozta a szóban forgó biztonsági réseket.

A hiba forrása egy, az alkalmazottaknak szánt weboldal volt. A két kutató ezen keresztül egy tesztautót tudott feltörni a sérülékenységek kiaknázásával, de figyelmeztetnek: ez az egész iparágat érintő probléma, és más autógyártók is hasonló problémákkal küzdenek.

Hatalmas biztonsági incidens a Volkswagennél, 800 000 autó érzékeny adatai voltak veszélyben

A Volkswagen-konszern több márkáját is érinti az az eset, melynek során egy rosszul konfigurált szerver miatt több százezer elektromos gépjármű érzékeny adatai voltak veszélyben – ráadásul hónapokon át.

Sam Curry először a MySubaru mobilalkalmazásban keresett sebezhetőségeket, de nem talált – ezután kezdte csak az alkalmazottak számára készült, ám nyilvánosan hozzáférhető felületeket vizsgálni. Ezek szélesebb körű jogosultságokkal is bírnak.

Természetesen az ilyen oldalak dolgozói bejelentkezést igényelnek, de egy sebezhetőség miatt csak egy dolgozói e-mail-címre volt szükség, aminek aztán pofonegyszerűen lehetett megváltoztatni a jelszavát. Ezután már csak a kétfaktoros hitelesítést kellett kijátszani, de a jelentés szerint ezt is játszi könnyedséggel lehetett kikapcsolni. Már be is jutottak a rendszerbe.

Az így elérhető felületen látni lehetett, hogy egy adott Subaru hol járt az elmúlt egy évben – ötméteres pontossággal. De egy ismerősük autóját is ki tudták nyitni távolról, úgy, hogy a tulajdonos nem is kapott semmi értesítést erről.

Természetesen ehhez olyan autókra volt szükség, amelyekbe telepítve van a Starlink műholdas internet, de így is rengeteg (több millió) kocsi lehetett veszélynek kitéve. A gyártó egy nap alatt befoltozta a hibákat, és állítja: nincs jele annak, hogy valaki (a kutatókon kívül) hozzáférést szerzett volna így a rendszerhez.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!

Megnézem az ajánlatokat
kiberbiztonság Subaru pozíció indítás adatvédelem