לאחרונה, הייתה גילוי מזעזע שבכלי הרכב המחוברים לסטארלינק היו פגמים. הפגמים הפכו מיליוני מכוניות לפגיעות לפריצה ולמעקב אחר מיקום.
חוקרי האבטחה סם קארי ושוהם שאה גילו כמה פגמים קריטיים שמאפשרים להם להשתלט מרחוק על כלי הרכב ולהשיג גישה להיסטוריית מיקומים רגישים. זה עשוי לתת לך זמן לחשוב אם המידע שלך בטוח ופרטי עם המכונית שלך.
כיצד גילו חוקרים את הפגיעויות של סובארו
אחֲקִירָההתחיל כאשר קארי המשיך וחקר תכונות מחוברות בסובארו אימפרזה 2023 של אמו. הוא יצא כניסוי מזדמן למשהו מפתיע - גילוי של מכונית לא נעולה באמצעות פלטפורמת Starlink של סובארו ואף עקב אחר היכן היא הייתה בשנה האחרונה: על ידי התנעת הצתה, צפירת צופרים וכו'.
באמצעות זיהוי חולשות בפורטל העובדים Starlink של סובארו, גילו החוקרים שהם יכולים לאפס סיסמאות עם כתובות אימייל של עובדים בלבד. המערכת אימתה את שאלות האבטחה שלה באופן מקומי בדפדפן המשתמש במקום בשרתים של סובארו.
עם חשבון עובד, הם יכלו למצוא כל רכב התומך ב-Starlink ולאחר מכן להקצות מחדש את השליטה למכשיר או מחשב אחר.
היקף הפרת הנתונים של סובארו Starlink
לְפִיחוטי,המומחים הוכיחו בבירור את ממצאיהם בדיוק מצמרר. דרך הפורטל שנפגע, הם:
נגישים לנתוני מיקום עדינים במשך שנה וחושפים נסיעות, ביקורי רופא ומקומות חניה
תכונות רכב נשלטות כגון מנעולי דלתות, הצתה וצופר מרחוק.
בעלים מזוהים באמצעות מידע אישי כמו שמות, מיילים ולוחיות רישוי.
קארי ושאה הזכירו שהפגמים הללו לא רק פתחו אפיקים של גניבה ומעקב, אלא גם ייצגו דאגה גדולה יותר לגבי מיקום יתר של מכוניות על ידי חברות רכב.
האם סובארו תיקנה את הפגיעויות השוכנות בפלטפורמת Starlink?
סובארו הגיבה במהירות לאחר שהחוקרים חשפו את ממצאיהם בנובמבר 2024. החברה תיקנה את נקודות התורפה בפלטפורמת Starlink שלה, ודובר הבטיח שלא התרחשה גישה בלתי מורשית לנתוני לקוחות. עם זאת, סובארו אישרה שעובדים יכולים לגשת לנתוני מיקום הרכב למטרות לגיטימיות, כמו סיוע למגיבים ראשונים.
"העניין הוא שלמרות שזה תוקן, הפונקציונליות הזו עדיין תתקיים עבור עובדי סובארו. זו פשוט פונקציונליות רגילה שעובד יכול לגייס שנה מהיסטוריית המיקומים שלך", אמר קארי.
סובארו לא לבד בהתמודדות עם סיוט הפרטיות הזה
סובארו היא לא היחידה במקרה הזה. פגמים בפגיעויות דומות נמצאו ברכבים של אקורה, הונדה, יונדאי, BMW ואחרות.
שוב ושוב, חוקרים הוכיחו כיצד פגמים מבוססי אינטרנט יכולים לאפשר גישה לא מורשית, ובכל זאת רוב יצרניות הרכב אוספות כמויות אדירות של נתוני נהג ללא אמצעי הגנה נאותים.
הדו"ח של מוזילה לשנת 2023 מיתג מכוניות מודרניות כ"סיוט פרטיות".הוא אמר ש-92% מהיצרנים נותנים לנהגים שליטה מועטה על נתונים שנאספו ו-84% שומרים לעצמם את הזכות לשתף או למכור מידע.
חוסר השקיפות עדיין מעורר דאגה: סובארו טוענת שהיא לא מוכרת נתוני מיקום, אבל חסרה לה שקיפות ושליטה על מה שהיא אוספת.
מנכ"ל פדרציית הצרכנות של קליפורניה, רוברט הרל, אמר שאחרים עוקבים אחר אנשים בדרכים שהם לא מבינים, והגיע הזמן לתקנות מחמירות יותר כדי להגן על הצרכנים.
ⓒ 2024 TECHTIMES.com כל הזכויות שמורות. אין לשכפל ללא רשות.
