Tajná brána do aut Subaru: poznávací značka jako vstupenka do cizího vozu

Pavel Trousil 26.01.2025

Bezpečnostní výzkumníci Shubham Shah a jeho kolega odhalili mimořádně nebezpečnou zranitelnost v systému připojených vozidel Subaru STARLINK, která by umožnila útočníkům prakticky neomezený přístup k vozidlům a osobním údajům zákazníků v USA, Kanadě a Japonsku.

Příběh už v roce 2023, kdy Shah testoval vozidlo zakoupené pro svou matku - Subaru Imprezu z roku 2023. Zpočátku se zaměřil na mobilní aplikaci MySubaru, kde však nenalezl žádné zjevné bezpečnostní mezery. Klíčový obrat přišel ve chvíli, kdy společně se svým kolegou Shubsem náhodou objevili administrátorský portál STARLINK.

Rozsah zranitelnosti

Pomocí pouhých základních informací jako příjmení, PSČ nebo poznávací značky vozidla mohli výzkumníci získat téměř absolutní kontrolu nad jakýmkoli připojeným vozidlem. Systém jim umožňoval provádět kritické akce včetně vzdáleného startování, zastavování, zamykání a odemykání vozidel. Ještě znepokojivější byla schopnost sledovat kompletní historii pohybu vozidla s přesností na pouhých 5 metrů.

Demonstrace zranitelnosti byla překvapivě jednoduchá. Výzkumníci dokázali vyhledat vozidlo své matky a následně zobrazit přesnou trasu všech jejích cest za celý rok. Navíc systém poskytoval přístup k citlivým osobním údajům, včetně kontaktů, adres a částečných platebních informací.

Mapa zobrazuje uniklé souřadnice z vozu Subaru Impreza z roku 2023 - podobná data bylo možné získat pro jakékoli Subaru připojené k internetu.

Demonstrace zranitelnosti

Jako závěrečný test požádali kamarádku o poskytnutí poznávací značky jejího vozu. Během několika minut se připojili jako autorizovaní uživatelé, odemkli vozidlo a obdrželi video potvrzující splnění útoku - a to bez jakéhokoli upozornění nebo varování pro majitelku vozu.

Zdroj: Youtube, Sam Curry

Reakce Subaru

Společnost Subaru reagovala mimořádně rychle. Po obdržení zprávy 20. listopadu 2024 byl systém opraven během 24 hodin a podle výzkumníků nedošlo k žádnému skutečnému zneužití dat. Případ však odhaluje významné bezpečnostní riziko v moderních připojených automobilových systémech.

Mohlo by vás zajímat

Závažná chyba umožňovala hackerům ovládat miliony aut Kia – stačilo znát SPZ

Bezpečnost

Autoři studie poukazují na zásadní problém v automobilovém průmyslu: zaměstnanci mají standardně velmi široký přístup k osobním údajům, který není dostatečně kontrolován. Systém de facto funguje na principu důvěry, což představuje potenciální bezpečnostní riziko.

Tento incident připomíná, že s rostoucí digitalizací a konektivitou automobilů roste i důležitost důkladného zabezpečení cloudových služeb. Případ Subaru STARLINK je varováním pro všechny výrobce připojených vozidel, aby pravidelně a důsledně testovali bezpečnost svých systémů.
Zdroj: Samcurry