Subaru의 보안 불량한 차량 데이터가 쉽게 액세스 할 수 있습니다.

Jan 23, 2025 Jan 23, 2025 1 min read

Will Shanklin

스바루는 틈새 보안 결함을 열어 두었지 만, 패치가되었지만 현대적인 차량의 무수한 개인 정보 보호 문제를 낳았습니다. 보안 연구원 Sam Curry와 Shubham Shah는보고했다 그들의 연구 결과 (를 통해 열광한) 쉽게 해킹 된 직원 웹 포털에 대해. 액세스를 얻은 후, 그들은 테스트 차량을 원격으로 제어하고 1 년 분량의 위치 데이터를 볼 수있었습니다. 그들은 스바루가 차량 데이터에 대한 LAX 보안을 갖는 데 혼자가 아니라는 경고합니다.

보안 분석가들이 스바루에 통보 한 후 회사는 신속하게 착취를 패치했습니다. 다행히도, 연구원들은 윤리적 인 해커들이 그 전에는 그것을 위반하지 않았다고 말합니다. 그러나 승인 된 스바루 직원은 소유자의 성, 우편 번호, 이메일 주소, 전화 번호 또는 번호판의 단일 정보만으로 소유자의 위치 기록에 액세스 할 수 있다고 말합니다.

Engadget은 댓글을 위해 Subaru에게 이메일을 보냈으며, 우리가 다시 들으면이 이야기를 업데이트 할 것입니다.

해킹 된 관리 포털은 Subaru의 Starlink 연결 기능의 일부였습니다. (SpaceX 위성 인터넷 서비스와 관련이 없습니다 Curry와 Shah는 LinkedIn에서 Subaru Starlink 직원의 이메일 주소를 찾아서 Subaru의 서버가 아닌 최종 사용자의 웹 브라우저에서 발생했기 때문에 근로자의 비밀번호를 재설정 한 후 Subaru Starlink 직원의 이메일 주소를 찾아서 들어갔습니다. 그들은 또한“우리가 생각할 수있는 가장 간단한 일 : UI에서 클라이언트 측 오버레이를 제거함으로써 2 단계 인증을 우회했습니다.

연구원의 테스트는 1 년으로 테스트 차량의 위치를 추적했지만 승인 된 스바루 직원이 더 멀리 스누핑 할 수있는 가능성을 배제 할 수는 없습니다. 테스트 차량 (2023 Subaru Impreza 카레는 어머니를 위해 그것을 해킹 할 수있는 조건으로 구입했다. 위치 데이터는 일부 넓은 토지로 일반화되지 않았습니다. 17 피트 미만으로 정확했으며 엔진이 시작될 때마다 업데이트되었습니다.

Curry는“대시 보드에서 내 차량을 검색하고 찾은 후 StarLink 관리자 대시 보드가 미국, 캐나다 및 일본의 거의 모든 스바루에 액세스 할 수 있어야 함을 확인했습니다. “우리는 우리가 놓친 것이 없다는 것을 확인하고 싶었습니다. 그래서 우리는 친구에게 연락을 취하고 실제로 차량 인수를 방해 할 수있는 사전 반품이나 기능이 없음을 입증하기 위해 그녀의 차를 해킹 할 수 있는지 물었습니다. 그녀는 우리에게 그녀의 번호판을 보냈고, 우리는 관리자 패널에서 그녀의 차량을 뽑은 다음 마침내 그녀의 차에 자신을 추가했습니다.”

관리자 포털을 통해 연구원은 자신의 위치를 추적하는 것 외에도 연구원들이 원격으로 시작, 중지, 잠금 및 잠금을 해제 할 수있었습니다. 그들은 커리의 어머니가 자신을 공인 사용자로 추가했다는 알림을받지 않았으며, 자동차를 잠금 해제 할 때 경고를받지 않았다고 말했다.

또한 긴급 연락처, 공인 사용자, 주소, 신용 카드 및 차량 핀의 마지막 4 자리 숫자를 포함하여 모든 고객의 개인 정보를 쿼리하고 검색 할 수도 있습니다. 또한 소유자의 지원 통화 기록과 차량의 이전 소유자 인 주행 거리계 읽기 및 판매 기록에 액세스 할 수있었습니다.

보안 연구원들은 단일 직원이“많은 개인 정보”에 액세스 할 수있는 능력에서 비롯된 추적 및 보안 실패는 스바루에 고유하지 않다고 말합니다. 열광한 Curry와 Shah의 이전 연구는 Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota 등의 차량에 영향을 미치는 비슷한 결함을 노출 시켰습니다.

이 쌍은 업계의 위치 추적 및 보안 조치에 대한 심각한 우려의 이유가 있다고 생각합니다. Curry는“자동차 산업은 텍사스 출신의 18 세의 직원이 캘리포니아의 차량 청구 정보를 쿼리 할 수 있으며 실제로 경보 종을 시작하지는 않는다는 점에서 독특합니다. “이것은 일상적인 직업의 일부입니다. 직원들은 모두 수많은 개인 정보를 이용할 수 있으며 모든 것이 신뢰에 의존합니다. 이러한 광범위한 액세스가 기본적으로 시스템에 내장 될 때 이러한 시스템을 실제로 확보하는 것은 정말 어렵습니다.”

연구원의 전체 보고서 읽을 가치가 있습니다.