セキュリティ上の欠陥により、数百万台のスバル車が遠隔からロック解除され、追跡される可能性がある
スバルの脆弱性の発見につながったシャーとカリーの調査は、カリーの母親の Starlink アプリがドメイン SuruCS.com に接続していることを発見したことから始まりました。このドメインは従業員用の管理ドメインであることがわかりました。そのサイトにセキュリティ上の欠陥がないか調べたところ、電子メール アドレスを推測するだけで従業員のパスワードをリセットでき、電子メールを見つけた従業員のアカウントを乗っ取ることができることがわかりました。パスワードのリセット機能では、確かに 2 つのセキュリティの質問への回答が求められましたが、それらの回答はスバルのサーバーではなくユーザーのブラウザでローカルに実行されるコードでチェックされ、安全装置が簡単に回避されてしまうことが判明しました。 「実際には、これにつながった複数のシステム上の欠陥がありました」とシャー氏は言います。 二人の研究者は、LinkedIn でスバル スターリンク開発者の電子メール アドレスを見つけ、その従業員のアカウントを乗っ取り、すぐにそのスタッフのアクセスを利用して、姓、郵便番号、電子メール アドレス、電話番号でスバルの所有者を検索できることが分かったと述べています。 Starlink…
