Amerika Birleşik Devletleri'ndeki iki güvenlik araştırmacısı, Subaru'nun idari portalına nispeten basit bir şekilde erişmeyi başardı, burada markanın her aracını Amerika Birleşik Devletleri, Kanada ve Japonya'da tespit etmeyi başardılar. Güvenlik uzmanı Sam Curry, Kasım 2024'te blogunda gerçekleştirilen Hacking Detays'ı Perşembe günü yayınladı. Sonuç olarak, Subaru geçişi 24 saat içinde kapattı. İki hacker ayrıca Subaru'nun görünüşe göre en az bir yıl boyunca pozisyonda kesin verileri tuttuğunu keşfetti. Hacking, satılan araçlarda otomobil üreticilerini ne kadar tuttuğunu bir kez daha açıklığa kavuşturuyor.
Duyuru
Tam Kontrol Uzaktan Kumandası
Saldırganlar, soyadını, posta kodunu, e-posta adresini, telefon numarasını veya sahibinin plak numarasını biliyorlarsa araçların büyük bir kontrolünü uzaktan almayı başardılar. Erişim, üreticinin çalışanları için bir portal aracılığıyla gerçekleşti. Bu durumda, bilgisayar korsanları Subaru çalışanlarının e-posta adreslerini kullanarak erişim elde etmek için şifreyi sıfırlamak için bir JavaScript kullandı. İki faktörlü kimlik doğrulama kullanılarak güvenlik, komut dosyasında kolayca yorumlanabilir.
Bu portal kullanıcıları olarak, bilgisayar korsanları araçları başlatabildiler, durdurabildiler, engelleyebildi, kilidini açabildi ve bulabildi. Ayrıca, ilgili aracın motorunun bir önceki yıl nerede başlatıldığını, beş metre hassasiyetle görebildiler. Buna ek olarak, kullanıcı adreslerine, acil durum kişilere ve hatta tarihsel alımlar veya araç satışları hakkında bilgilere erişebildiler. Subaru çalışanları da bu erişime sahiptir. Bilgisayar korsanları, daha sonra onu hacklemesine izin verileceği sözü karşılığında onu satın aldığı Curry'nin annesinin arabasını kullanarak yapmaya çalıştı.
Burası bir yıl boyunca Curry'nin annesinin arabası başladı.
(Resim: samcurry.net)
Saldırı ve yaklaşımın uyarısı olan Japon otomobil üreticisi, 24 saat içinde boşluğu doldurdu. Genel olarak, bu bir internet bağlantısı olan benzer araba hack'lerine benzer. Subaru'nun en az on iki aya kadar uzanan pozisyondaki kapsamlı ve kesin verileri koruduğu keşif tartışmalıdır. Curry'nin annesi uzun zamandır aracına sahip değildi. Subaru, Wired'e sadece özel olarak eğitilmiş çalışanların onları görebileceğini söyledi. Veriler, örneğin acil durum hizmetlerini bir kazada yer alan bir araca yönlendirmek için yararlı olabilir. Ancak pozisyonda aylarca veri yok, diyor Curry. Subaru, veri koleksiyonunun ne ölçüde geri döndüğünü açıklamadı.
(MHO)
Duyuru
Tam Kontrol Uzaktan Kumandası
Saldırganlar, soyadını, posta kodunu, e-posta adresini, telefon numarasını veya sahibinin plak numarasını biliyorlarsa araçların büyük bir kontrolünü uzaktan almayı başardılar. Erişim, üreticinin çalışanları için bir portal aracılığıyla gerçekleşti. Bu durumda, bilgisayar korsanları Subaru çalışanlarının e-posta adreslerini kullanarak erişim elde etmek için şifreyi sıfırlamak için bir JavaScript kullandı. İki faktörlü kimlik doğrulama kullanılarak güvenlik, komut dosyasında kolayca yorumlanabilir.
Bu portal kullanıcıları olarak, bilgisayar korsanları araçları başlatabildiler, durdurabildiler, engelleyebildi, kilidini açabildi ve bulabildi. Ayrıca, ilgili aracın motorunun bir önceki yıl nerede başlatıldığını, beş metre hassasiyetle görebildiler. Buna ek olarak, kullanıcı adreslerine, acil durum kişilere ve hatta tarihsel alımlar veya araç satışları hakkında bilgilere erişebildiler. Subaru çalışanları da bu erişime sahiptir. Bilgisayar korsanları, daha sonra onu hacklemesine izin verileceği sözü karşılığında onu satın aldığı Curry'nin annesinin arabasını kullanarak yapmaya çalıştı.
Burası bir yıl boyunca Curry'nin annesinin arabası başladı.
(Resim: samcurry.net)
Saldırı ve yaklaşımın uyarısı olan Japon otomobil üreticisi, 24 saat içinde boşluğu doldurdu. Genel olarak, bu bir internet bağlantısı olan benzer araba hack'lerine benzer. Subaru'nun en az on iki aya kadar uzanan pozisyondaki kapsamlı ve kesin verileri koruduğu keşif tartışmalıdır. Curry'nin annesi uzun zamandır aracına sahip değildi. Subaru, Wired'e sadece özel olarak eğitilmiş çalışanların onları görebileceğini söyledi. Veriler, örneğin acil durum hizmetlerini bir kazada yer alan bir araca yönlendirmek için yararlı olabilir. Ancak pozisyonda aylarca veri yok, diyor Curry. Subaru, veri koleksiyonunun ne ölçüde geri döndüğünü açıklamadı.
(MHO)