Kako su hakeri preuzeli kontrolu nad Subaru Imprezom: Uvid u opasne ranjivosti sustava
Ponekad, sigurnosne ranjivosti u modernim tehnologijama mogu rezultirati vrlo ozbiljnim posljedicama. Nedavna situacija s Subaru Imprezom pokazuje upravo to. Dvojica hakera, Sam Curry i Shubham Shah, otkrila su kako su daljinski preuzeli kontrolu nad vozilom zahvaljujući problematičnom sigurnosnom rješenju u Subaruovom infotainment sustavu povezanom s Starlinkom. U nastavku saznajte više o ovoj situaciji i njenim implikacijama.
Kako je sve počelo
Prema izvješću Wired-a, Curry i Shah pronašli su načine za iskorištavanje ranjivosti u Subaruovom web portalu. Oni su uspjeli preuzeti kontrolu nad vozilom Curryjeve majke, omogućujući im da:
- Otključaju automobil
- Aktiviraju njegovu sirenu
- Pokrenu motor putem bilo koje pametne telefone ili računala
Curry je detaljno opisao svoje metode u videu i blog postu, ističući kako je uspio pristupiti web portalu samo resetiranjem lozinke zaposlenika Subaru-a. Time je mogao daljinski upravljati milijunima vozila koristeći ime kupca, broj registracije ili poštanski broj.
Privatnost na kušnji
Ono što zabrinjava je mogućnost da se dođe do godinama prikupljanih podataka o lokacijama. Curry je mogao dobiti točne informacije o svakom putovanju njegove majke, uključujući gdje je parkirala kada je išla u crkvu. Subaru je nakon obavijesti od strane hakera pokrenuo radove na ispravljanju ovih ranjivosti, naglašavajući kako je važno prikupljati podatke o lokacijama radi pomoći zaposlenicima u hitnim situacijama i pronalaženju ukradenih vozila. Međutim, Curry i šira hakerska zajednica smatraju da proizvođači automobila nemaju potrebu prikupljati godine podataka o lokaciji svojih kupaca.
Problemi nisu samo u Subaru-u
Curry ukazuje na to da slične ranjivosti postoje i kod drugih proizvođača automobila poput Acuri, Genesis, Honde, Hyundaija, Infinitija, Kije, Toyote i mnogih drugih. Na primjer, istraživači sigurnosti iz Kasperskoga su nedavno otkrili 13 ranjivosti u infotainment sustavu prve generacije Mercedes-Benz User Experience (MBUX), što bi moglo omogućiti hakerima krađu podataka i onemogućavanje zaštite od krađe.
Reakcija proizvođača
Mercedes-Benz je potvrdio da je bio svjestan ranjivosti otkako je Kaspersky iznio svoja saznanja 2022. godine i da su poduzete mjere za njihovo uklanjanje. Međutim, važno je napomenuti da je za uspješan napad na infotainment sustav potrebno fizičko uklanjanje i otvaranje glavne jedinice, što ovu situaciju čini manje alarmantnom u usporedbi s problemima u Subaruovim vozilima.
Zaključak: Pitanje sigurnosti suvremenih automobila
Mnogi stručnjaci za kibernetsku sigurnost upozoravaju da moderna povezana vozila predstavljaju ozbiljan sigurnosni rizik. Mozilla je čak izjavila da su “moderna vozila noćna mora za privatnost” u svom izvješću iz 2023. godine. Brojna vozila prikupljaju više podataka nego što im je potrebno, što otežava korisnicima da odbiju pristup njihovim informacijama koje se zatim prodaju trećim stranama bez njihovog znanja.
Dok proizvođači automobila postaju svjesniji ovih prijetnji, potrebno je još puno posla kako bi se osigurala sigurnost korisnika. Bez obzira na to koliko tehnologija napreduje, sigurnost privatnosti mora ostati prioritet.
