• Hisense представил новую линейку телевизоров с технологией RGB MiniLED

    Компания Hisense провела презентацию новой линейки телевизоров. Мероприятие объединило технологический запуск и выставку современного искусства: вместо традиционной экспозиции техники гости прошли по RGB MiniLED Gallery, где особенности изображения, движения и звука были представлены через отдельные арт-объекты.
    Читать дальше
  • Британский стартап показал трёхколёсный электротрайк с «летающей» посадкой (6 фото)

    Компания Sweren представила необычный электрический трайк Swerv, который предлагает водителю ехать лёжа лицом вперёд. По словам создателей, такая посадка создаёт ощущение полёта и делает поездку намного ярче.
    Читать дальше
  • Крупнейший игровой архив мира закрывают из-за прекращения господдержки

    Пока индустрия всё активнее переходит в цифру, проекты по сохранению её истории переживают не лучшие времена. В Германии закрывают один из крупнейших архивов видеоигр, который собирали более десяти лет.
    Читать дальше
  • В iPhone Air 2 исправят ключевые недостатки предшественника

    По данным авторитетного инсайдера Digital Chat Station, Apple работает над вторым поколением ультратонкого iPhone Air. Главная цель — исправить недостатки первой модели, сохранив тонкий корпус.
    Читать дальше
  • Создан солнечный элемент с рекордным КПД (2 фото)

    Немецкие исследователи приблизились к созданию более эффективных солнечных батарей. Им удалось установить новый мировой рекорд для тандемного солнечного элемента, который сочетает сразу два материала.
    Читать дальше

В софте Subaru нашли дыру, позволявшую удалённо отпирать, заводить и следить за миллионами автомобилей

24 января 2025 | Просмотров: 5 765 | Новости IT

Исследователи в области кибербезопасности Сэм Карри и Шубхам Шах обнаружили в информационно-развлекательной системе Subaru Starlink уязвимости, позволяющие частично перехватывать управление автомобилем и следить за его передвижениями.

Взлом системы Starlink экспертам удалось произвести через веб-портал Subaru. Повторив их действия, потенциальный злоумышленник получает возможность открывать автомобиль, подавать звуковой сигнал, запускать двигатель, а также переназначать эти функции любому телефону или ПК. Обнаружилось также, что в системе присутствует возможность отслеживать местоположение автомобиля Subaru — не только где он находится в настоящий момент, но и историю его передвижений. Взлом производился на примере машины, принадлежащей матери господина Карри — он увидел в системе все её поездки к врачу, в гости к друзьям, и даже парковочное место, на котором она оставляла автомобиль, когда приезжала в церковь. Обнаруженная экспертами уязвимость была действительна для систем Subaru Starlink в США, Канаде и Японии.

Специалисты установили доменное имя ресурса, через который осуществляется удалённое управление функциями автомобилей. Изучив этот сайт, они нашли способ получить административные привилегии: подобрав адрес электронной почты сотрудника, они производили сброс его пароля. Для этого система запрашивала ответ на два контрольных вопроса, но их проверка осуществлялась локальным скриптом в браузере пользователя, а не на сервере Subaru, и обойти такую защиту было нетрудно. На LinkedIn они обнаружили электронную почту разработчика Subaru Starlink, взломали его учётную запись на административном портале и обнаружили, что у него есть доступ к поиску любого владельца автомобиля Subaru по фамилии, почтовому индексу, адресу электронной почты, номеру телефона или номерному знаку — найдя нужный автомобиль, они получали доступ к конфигурации Starlink.


Карри и Шах сообщили о своих открытиях компании Subaru в конце ноября, и автопроизводитель оперативно принял меры для исправления уязвимостей. Это решило проблему безопасности, но оставило проблему конфиденциальности: даже если потенциальные злоумышленники лишились возможности перехватывать функции управления автомобилями и считывать историю перемещения транспортных средств, всё это по-прежнему могут делать работники Subaru. В компании подтвердили, что её работники действительно имеют доступ ко всем этим функциям, но заверили, что они проходят надлежащую подготовку и подписывают соглашения о неразглашении; на практике же доступ к местоположению машины им якобы предоставляется, чтобы сообщать его службам быстрого реагирования, если система обнаружит ДТП.

Тот факт, что Subaru отслеживает передвижения автомобилей своего производства, свидетельствует, что во всём автопроме больше нет гарантий конфиденциальности, указывает Сэм Карри. Так, сотрудник Google, как предполагается, не может читать переписку пользователей Gmail, а в Subaru история передвижений транспортных средств открыта для работников компании. Ранее стало известно, что в открытом доступе оказались аналогичные данные автомобилей VW Group из-за действий входящей в концерн компании Cariad.

Комментарии: 0

В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.