Subaru dejó abierta una enorme falla de seguridad que, aunque parcheada, deja al descubierto los innumerables problemas de privacidad de los vehículos modernos. Los investigadores de seguridad Sam Curry y Shubham Shah reportado sus hallazgos (a través de cableado) sobre un portal web para empleados fácilmente pirateado. Después de obtener acceso, pudieron controlar de forma remota un vehículo de prueba y ver los datos de ubicación de un año. Advierten que Subaru no es el único que tiene una seguridad laxa en torno a los datos del vehículo.
Después de que los analistas de seguridad notificaran a Subaru, la compañía rápidamente parchó el exploit. Afortunadamente, los investigadores dicen que piratas informáticos poco éticos no lo habían violado antes. Pero dicen que los empleados autorizados de Subaru aún pueden acceder al historial de ubicación de los propietarios con solo una pieza de la siguiente información: apellido, código postal, dirección de correo electrónico, número de teléfono o matrícula del propietario.
Engadget envió un correo electrónico a Subaru para solicitar comentarios y actualizaremos esta historia si recibimos respuesta.
El portal de administración pirateado era parte del conjunto de funciones de conectividad Starlink de Subaru. (Sin relación con el Servicio de internet satelital SpaceX del mismo nombre.) Curry y Shah entraron encontrando la dirección de correo electrónico de un empleado de Subaru Starlink en LinkedIn y restableciendo la contraseña del trabajador después de pasar por alto dos preguntas de seguridad requeridas, porque tuvo lugar en el navegador web del usuario final, no en los servidores de Subaru. También pasaron por alto la autenticación de dos factores al hacer «lo más simple que se nos ocurrió: eliminar la superposición del lado del cliente de la interfaz de usuario».
Aunque las pruebas de los investigadores rastrearon la ubicación del vehículo de prueba hace un año, no pueden descartar la posibilidad de que los empleados autorizados de Subaru puedan husmear aún más lejos. Eso se debe a que el auto de prueba (un 2023 Subaru Impreza Curry compró para su madre con la condición de que pudiera piratearlo) solo había estado en uso durante ese tiempo. Los datos de ubicación tampoco se generalizaron a una amplia franja de tierra: tenían una precisión de menos de 17 pies y se actualizaban cada vez que arrancaba el motor.
«Después de buscar y encontrar mi propio vehículo en el tablero, confirmé que el panel de administración de Starlink debería tener acceso a prácticamente cualquier Subaru en los Estados Unidos, Canadá y Japón», escribió Curry. “Queríamos confirmar que no nos faltaba nada, así que nos comunicamos con una amiga y le preguntamos si podíamos piratear su automóvil para demostrar que no había ningún requisito previo o característica que hubiera impedido la adquisición completa del vehículo. Ella nos envió su matrícula, detuvimos su vehículo en el panel de administración y finalmente nos agregamos a su auto”.
Además de rastrear su ubicación, el portal de administración permitió a los investigadores arrancar, detener, bloquear y desbloquear de forma remota cualquier vehículo Subaru conectado a Starlink. Dijeron que la madre de Curry nunca recibió notificaciones de que se habían agregado como usuarios autorizados, ni recibió alertas cuando desbloquearon su auto.
También podrían consultar y recuperar información personal de cualquier cliente, incluidos sus contactos de emergencia, usuarios autorizados, dirección particular, los últimos cuatro dígitos de su tarjeta de crédito y PIN del vehículo. Además, pudieron acceder al historial de llamadas de soporte al propietario y propietarios anteriores del vehículo, lectura del odómetro e historial de ventas.
Los investigadores de seguridad dicen que las fallas de seguimiento y seguridad, derivadas de la capacidad de un solo empleado de acceder a «una tonelada de información personal», no son exclusivas de Subaru. cableado señala que el trabajo anterior de Curry y Shah expuso fallas similares que afectan a vehículos de Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota y otros.
La pareja cree que hay motivos para preocuparse seriamente por el seguimiento de la ubicación de la industria y las deficientes medidas de seguridad. «La industria automotriz es única en el sentido de que un empleado de 18 años de Texas puede consultar la información de facturación de un vehículo en California, y eso realmente no activará ninguna alarma», escribió Curry. “Es parte de su trabajo diario normal. Todos los empleados tienen acceso a una gran cantidad de información personal y todo se basa en la confianza. Parece realmente difícil proteger estos sistemas cuando un acceso tan amplio está integrado en el sistema de forma predeterminada”.
El informe completo de los investigadores Vale la pena leerlo.
