Una vulnerabilità nei servizi Subaru ha permesso agli hacker di sbloccare le auto e di tracciare la cronologia dei viaggi dei conducenti
Alla fine dello scorso anno, alcuni ricercatori hanno scoperto una grave vulnerabilità di sicurezza nel servizio web interno e nel sistema di bordo di Subaru, Subaru Starlink. Tale vulnerabilità consentiva l'accesso completo ai dati personali dei clienti dell'azienda, tra cui la cronologia delle posizioni, i contatti di emergenza, la cronologia delle chiamate e altro ancora.
Ecco cosa sappiamo
I ricercatori di cybersicurezza Sam Curry e Shubham Shah hanno scoperto la vulnerabilità nel novembre 2024 mentre facevano ricerche sulla Subaru Impreza del 2023 della madre di Curry, che aveva acquistato un anno prima. Curry ha dichiarato a Wired in un commento di aver avuto accesso per almeno un anno alla cronologia esatta della posizione dell'auto e ad altre informazioni sensibili.
I ricercatori sono riusciti ad accedere al sito web di Subaru con l'account violato di un dipendente dell'azienda. Questo ha permesso loro di prendere il controllo delle funzioni Starlink delle auto e di accedere a un'enorme quantità di dati personali, tra cui il nome del cliente, i contatti di emergenza, la cronologia delle chiamate, l'indirizzo di casa e persino il PIN dell'auto. Potevano anche sbloccare a distanza l'auto e avviarla. Tutto ciò di cui avevano bisogno era il cognome della vittima, il numero di targa dell'auto, il codice postale del proprietario, il numero di telefono o l'indirizzo e-mail.
Per merito di Subaru, questa vulnerabilità non esiste più. Inoltre, la casa automobilistica ha risolto la falla per gli aggressori in meno di 24 ore dalla notifica. Secondo Sam Curry, tuttavia, il problema non è solo che persone non autorizzate possono accedere alle auto, ma che praticamente qualsiasi dipendente del produttore di veicoli ha pieno accesso alle informazioni sensibili degli utenti. Questo probabilmente non vale solo per Subaru, ma per l'intero settore automobilistico.
Fonte: Wired
