Sabemos que los autos están mejor conectados que nunca, lo cual es genial cuando desea recordar dónde estacionó o comienza a descongelar las ventanas del vehículo mientras aún está en la cama, pero esta tecnología moderna viene con preocupaciones de seguridad y privacidad, como una nueva Hack de los autos Subaru y su software Starlink han demostrado.
Los investigadores de seguridad Sam Curry y Shubham Shah explican en un blog Cómo pudieron piratear de forma remota el servicio de vehículos conectados de Starlink administrado por Subaru. Específicamente, se dirigieron al software en el auto de la madre de Curry, pero la misma plataforma funciona a través de vehículos Subaru en los Estados Unidos, Canadá y Japón.
Con el acceso al apellido del conductor y su código postal adjunto, dirección de correo electrónico, número de teléfono o placa, curry y Shah pudieron comenzar, detener, bloquear y desbloquear el Subaru, así como recuperar su ubicación actual. Además, podrían ver el historial de ubicación recopilada durante todo un año (hasta los lugares de estacionamiento).
El mismo truco dio acceso a información personal sobre el conductor, incluida su dirección, su información de facturación (aunque no su número de tarjeta de crédito completo) y su contacto de emergencia. El historial de llamadas de soporte, las lecturas del odómetro y los propietarios anteriores del motor también se pueden acceder.
Curry y Shah lograron probar el acceso en un Subaru que pertenece a uno de sus amigos, y funcionó nuevamente, todo sin ningún tipo de notificación o alerta al conductor del automóvil a que se accediera a su vehículo. Todo lo que se necesitaba fue un inicio de sesión exitoso en el portal de Starlink y alguna información básica del controlador.
El portal de empleados de Subaru fue atacado por el hack.
Crédito: Sam Curry
Si bien el inicio de sesión de Starlink estaba protegido con la autenticación de dos factores y las preguntas de seguridad, estas medidas de seguridad se aplicaron de manera a medida que los investigadores pudieron desplazarse simplemente modificando el código del sitio web para ignorarlas. En otras palabras, no había necesidad de ingresar una contraseña.
Esa es una gran cantidad de acceso a características y datos de un truco relativamente simple. La buena noticia es que Curry y Shah informaron la vulnerabilidad a Subaru, y el fabricante de vehículos lo reparó en 24 horas; este truco ya no es posible. Sin embargo, todos estos datos siguen siendo accesibles para los empleados de Subaru, lo que plantea más preguntas.
Subaru y sus datos
El hack original se realizó iniciando sesión en la terminal de Starlink como empleado de Subaru, a través de un trabajo de detective en LinkedIn y un pequeño ajuste del código de sitio web. Si bien esta ruta de acceso ahora se ha bloqueado, el personal genuino de Subaru aún puede obtener toda la información encontrada por Curry y Shah, incluida la historia de la ubicación del año.
«La industria automotriz es única en que un empleado de 18 años de Texas puede consultar la información de facturación de un vehículo en California, y realmente no activará ninguna alarma». escritura Curry. «Es parte de su trabajo diario normal. Todos los empleados tienen acceso a una tonelada de información personal, y todo depende de la confianza».
Los empleados de Subaru pueden ver dónde ha estado a través de StarLink.
Crédito: Sam Curry
Subaru dijo Cableado que sus empleados, «basados en su relevancia laboral», pueden acceder a los datos de ubicación, en el caso de contactar a los socorristas cuando se detecta una colisión, por ejemplo (aunque eso apenas requiere un año de datos). Subaru dice que la privacidad, la seguridad y los acuerdos de NDA son firmados por estos empleados.
Puedes leer las políticas de privacidad de Subaru aquí y aquí. Notará que hay muchos datos recopilados sobre usted y su vehículo a través de StarLink, incluso donde comienza y se detiene, velocidades del vehículo e información de diagnóstico. Use un sitio web o aplicación de Subaru, y está permitiendo el acceso a una franja completamente nueva de datos, incluidos los datos recopilados por los micrófonos y cámaras en sus dispositivos.
Peor aún, estas políticas se aplican a cualquier pasajero en un Subaru: el desarrollador de Firefox, Mozilla, tiene un desglose integral aquí (Tenga en cuenta que esto incluye las aplicaciones y el sitio web de Subaru, así como StarLink). Si bien Subaru promete no vender sus datos a terceros, y dice que requiere la información para mejorar el apoyo y detectar actividades criminales, puede dirigirse a usted con anuncios, comunicaciones y promociones.
Los investigadores pudieron obtener muchos datos de los usuarios.
Crédito: Sam Curry
Hay pasos que puede tomar para limitar parte de esta recopilación de datos. Puede, por supuesto, cancelar su suscripción de Starlink, pero luego se pierde características como la asistencia de emergencia. También puede desinstalar cualquier aplicación relacionada con Subaru de su teléfono, cambiar sus preferencias de marketing a través de el portal mysubaruy llenar esta forma Para colocar ciertos límites en la recopilación de datos y el intercambio en estados específicos, aunque no está claro qué datos cubre el formulario o el tiempo que se conservarán los datos existentes.
Subaru no está solo entre los fabricantes de automóviles cuando se trata de Vulnerabilidades de seguridad y sospechas de políticas de privacidad. Sin embargo, es otro recordatorio de que la conectividad adicional a menudo viene con un costo adicional en términos de datos del usuario, y que cualquier decisión sobre qué automóvil comprar a continuación probablemente también debería ver con las políticas de recopilación de datos del fabricante.
