スバルのセキュリティが不十分なため、車両データの宝庫に簡単にアクセスできた

スバルには大きなセキュリティ上の欠陥が残されており、パッチは当てられているものの、現代の自動車の無数のプライバシー問題が露呈しています。セキュリティ研究者のサム・カリー氏とシュバム・シャー氏 報告されました 彼らの調査結果 (経由 有線) 簡単にハッキングされる従業員 Web ポータルについて。アクセスを取得した後、試験車両を遠隔制御し、1 年分の位置データを表示できるようになりました。彼らは、車両データに関するセキュリティが緩いのはスバルだけではないと警告している。

セキュリティアナリストがスバルに通知した後、同社はすぐにこのエクスプロイトにパッチを適用しました。幸いなことに研究者らは、それまでは倫理に欠けるハッカーによる侵入はなかったと述べている。しかし、スバルの正規従業員は、オーナーの姓、郵便番号、メールアドレス、電話番号、ナンバープレートなどの情報のうちの 1 つだけで、オーナーの位置履歴にアクセスできるという。

Engadget はスバルに電子メールでコメントを求めたので、返答があればこの記事を更新します。

ハッキングされた管理ポータルは、スバルの Starlink スイートの接続機能の一部でした。 (同じ名前の SpaceX 衛星インターネット サービスとは無関係です。) カリーとシャーは、LinkedIn でスバル スターリンク従業員の電子メール アドレスを見つけ、必須の 2 つのセキュリティ質問を回避した後、その従業員のパスワードをリセットすることで侵入しました。なぜなら、それはエンド ユーザーのパスワードで行われたためです。スバルのサーバーではなく、Web ブラウザーです。また、「考えられる最も単純な方法、つまり UI からクライアント側のオーバーレイを削除する」ことによって 2 要素認証もバイパスしました。

研究者らのテストでは試験車両の位置を1年前まで遡ることができたが、スバルの正規従業員がさらに遡って盗み見できる可能性を排除することはできない。というのは、テストカー（ハッキングできるという条件で母親のために買った2023年型スバル・インプレッサ・カリー）は、それくらいの期間しか使われていなかったからである。位置データも、広い範囲の土地に一般化されたものではなく、17 フィート未満まで正確で、エンジンが始動するたびに更新されました。

「ダッシュボードで自分の車を検索して見つけた後、Starlink 管理ダッシュボードから米国、カナダ、日本のほぼすべてのスバル車にアクセスできることが確認できました」とカリー氏は書いています。 「私たちは不足しているものが何もないことを確認したかったので、友人に連絡して、実際に車両全体の乗っ取りを防ぐ前提条件や機能がないことを証明するために、彼女の車をハッキングできないか尋ねました。彼女は私たちにナンバープレートを送ってくれて、私たちは管理パネルで彼女の車を引き上げ、そして最後に私たちも彼女の車に乗り込みました。」

研究者らは、位置を追跡するだけでなく、管理ポータルを使用して、Starlink に接続されたスバル車を遠隔から始動、停止、ロック、ロック解除できるようになりました。彼らによると、カリーさんの母親は、自分を認証ユーザーとして追加したという通知を受け取ったことがなく、車のロックを解除したときにも警告を受け取らなかったという。

また、緊急連絡先、許可されたユーザー、自宅の住所、クレジット カードの下 4 桁、車両の暗証番号など、あらゆる顧客の個人情報をクエリして取得することもできます。さらに、所有者のサポートへの電話履歴や車両の前の所有者、走行距離計の測定値、販売履歴にもアクセスできました。

セキュリティ研究者らは、一人の従業員が「大量の個人情報」にアクセスできることに起因する追跡とセキュリティの障害は、スバルに限ったことではないと述べている。 有線 カリー氏とシャー氏の以前の研究では、アキュラ、ジェネシス、ホンダ、ヒュンダイ、インフィニティ、起亜自動車、トヨタなどの車両に影響を与える同様の欠陥が暴露されたと指摘している。

両氏は、業界の位置追跡と不十分なセキュリティ対策には深刻な懸念があると考えている。 「自動車業界は、テキサス州出身の18歳の従業員がカリフォルニア州の自動車の請求情報を照会できるという点で独特だが、それが実際に警鐘を鳴らすわけではない」とカリー氏は書いた。 「それは彼らの通常の日常業務の一部です。従業員全員が大量の個人情報にアクセスでき、すべては信頼に依存しています。これほど広範なアクセスがデフォルトでシステムに組み込まれている場合、これらのシステムを実際にセキュリティで保護するのは非常に困難だと思われます。」

の 研究者の完全な報告書 一読の価値があります。