La tecnologia multimediale Starlink di Subaru ha rivelato una vulnerabilità che potrebbe mettere a rischio i veicoli connessi. Scopriamo i dettagli.
Cosa è Starlink e perché è importante
Starlink è la tecnologia multimediale di Subaru, introdotta nel 2016, che gestisce una vasta gamma di funzioni nei veicoli, dall’ infotainment alla navigazione , fino a molte altre comodità moderne che gli automobilisti apprezzano. Questo sistema, però, rappresenta anche un obiettivo attraente per i hacker , poiché offre accesso a numerosi sistemi interconnessi. La portata delle funzionalità accessibili tramite Starlink significa che un attacco malevolo potrebbe causare notevoli danni ai veicoli connessi. Recentemente, un hacker etico ha scoperto una vulnerabilità nel sistema Starlink, che ha permesso l’accesso non autorizzato a diversi veicoli Subaru. Con questo tipo di accesso, i malintenzionati potrebbero ottenere il controllo di qualsiasi veicolo Subaru connesso a Starlink, semplicemente inserendo informazioni di base come il cognome del proprietario e il codice postale o il numero di targa.
Una volta effettuato l’accesso, il hacker potrebbe operare le serrature delle porte , avviare o fermare il motore e visualizzare la posizione attuale del veicolo. Inoltre, i hacker avrebbero potuto accedere alla cronologia delle posizioni del veicolo negli ultimi 12 mesi, scoprendo esattamente dove si era recato e per quanto tempo. I dati personali degli utenti, come gli indirizzi fisici e le ultime quattro cifre delle carte di credito associate all’account, erano anch’essi a rischio. Questo mette in evidenza l’importanza di garantire la sicurezza dei sistemi di infotainment e delle tecnologie connesse nei veicoli moderni.
La scoperta della vulnerabilità
Un hacker etico, Sam Curry , ha scoperto una vulnerabilità nel sistema Starlink di Subaru, che potrebbe consentire a terzi di accedere agli account degli utenti. Questo problema è stato identificato grazie a un attento lavoro di ricerca, che ha portato alla possibilità di ottenere accesso da amministratore a Starlink e di aggiungersi agli account individuali. Con questo tipo di accesso, i malintenzionati avrebbero potuto trovare e controllare qualsiasi veicolo Subaru connesso a Starlink, semplicemente inserendo informazioni di base come il cognome del proprietario e il codice postale o il numero di targa . Una volta effettuato l’accesso, i hacker avrebbero potuto:
- Operare le serrature delle porte.
- Avviare o fermare il motore.
- Visualizzare la posizione attuale del veicolo.
Inoltre, i malintenzionati avrebbero potuto accedere alla cronologia delle posizioni del veicolo degli ultimi 12 mesi, scoprendo esattamente dove si era trovato e per quanto tempo. Anche i dati personali degli utenti erano a rischio, inclusi gli indirizzi fisici e le ultime quattro cifre delle carte di credito associate all’account. Fortunatamente, Subaru è stata contattata immediatamente dopo la scoperta della vulnerabilità e ha chiuso il problema senza che gli account dei clienti fossero stati compromessi.
Le conseguenze del hack
I hacker sono riusciti a ottenere il controllo di un veicolo Subaru Impreza del 2023 (con il permesso del proprietario) e a monitorare la sua storia di localizzazione . Hanno anche avuto accesso a un secondo veicolo (ancora con il permesso) e sono riusciti a ciclare le serrature , tutto mentre il proprietario osservava per confermare. Secondo il blog, i veri proprietari dei veicoli non hanno mai ricevuto una notifica che informasse della presenza di un nuovo utente aggiunto al loro account. Grazie a questa vulnerabilità, i hacker potevano:
- Controllare le serrature del veicolo.
- Avviare o fermare il motore.
- Accedere alla posizione attuale del veicolo.
- Estrarre la storia di localizzazione del veicolo degli ultimi 12 mesi, visualizzando esattamente dove si era trovato e per quanto tempo.
- Accedere a dati personali, inclusi gli indirizzi fisici e le ultime quattro cifre delle carte di credito associate all’account.
Questa situazione è stata fortunatamente scoperta prima che qualcuno con intenzioni malevole potesse sfruttare la falla. Tuttavia, rappresenta un chiaro monito sui potenziali pericoli di vivere in un mondo connesso .
Rischi per la privacy degli utenti
I rischi per la privacy degli utenti sono stati significativi a seguito della vulnerabilità nel sistema Starlink di Subaru. I dati personali degli utenti erano a rischio, inclusi:
- Indirizzi fisici.
- Ultimi quattro numeri delle carte di credito associate all’account.
- Utenti autorizzati sull’account.
I hacker sono stati in grado di accedere alla cronologia delle posizioni del veicolo per i dodici mesi precedenti, permettendo loro di vedere esattamente dove il veicolo era stato e per quanto tempo. Inoltre, hanno potuto ottenere accesso a un’auto Subaru del 2023, monitorando la sua posizione e controllando le serrature, tutto con il consenso del proprietario. È importante notare che i proprietari dei veicoli non hanno ricevuto alcuna notifica riguardo all’aggiunta di un nuovo utente al loro account. Questo evento mette in evidenza i pericoli potenziali di vivere in un mondo connesso.
La risposta di Subaru
Subaru ha reagito prontamente alla scoperta della vulnerabilità nel sistema Starlink . Dopo essere stata informata da ricercatori di sicurezza indipendenti, l’azienda ha identificato una falla che poteva consentire a terzi di accedere agli account Starlink . La vulnerabilità è stata immediatamente chiusa. Inoltre, Subaru ha rassicurato che gli account dei clienti non sono stati compromessi . I ricercatori indipendenti avevano ricevuto l’autorizzazione da parte di amici e familiari per accedere alle loro informazioni, garantendo così che non ci fosse stata alcuna violazione della privacy degli utenti.