Notebookcheck Logo

Beveiligingsfout in Subaru autosoftware geeft hackers volledige toegang tot voertuigen

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor hij auto's van Subaru kon volgen en besturen. (Afbeeldingsbron: Subaru-logo en Shutterstock, w/bewerkingen)
Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor hij auto's van Subaru kon volgen en besturen. (Afbeeldingsbron: Subaru-logo en Shutterstock, w/bewerkingen)
Een onlangs onthulde exploit in het Starlink-systeem dat in Subaru-voertuigen wordt gebruikt, stelde hackers in staat om toegang te krijgen tot elke aangesloten Subaru-auto in de Verenigde Staten, Canada of Japan en zichzelf toe te voegen als geautoriseerde gebruiker. Met deze toegang konden hackers persoonlijke gegevens van voertuigeigenaren achterhalen, een auto op afstand ontgrendelen en starten of stoppen, en de locatiegeschiedenis van een voertuig over een heel jaar downloaden.
Cyberlaw Hack / Data Breach Security

Naarmate de auto-industrie slimmer en meer verbonden wordt, groeit het aantal zwakke plekken in de beveiliging. Een nieuw rapport laat zien hoe kwetsbaar verbonden auto's kunnen zijn.

Een beveiligingsonderzoeker met de naam Sam Curry heeft onlangs een blogbericht gepubliceerd waarin hij gedetailleerd beschrijft hoe hij en een collega (Shubham Shah) in staat waren om het Starlink softwaresysteem dat door Subaru auto's wordt gebruikt, te kraken. Starlink voedt het infotainmentcentrum in Subaru-voertuigen en stelt gebruikers in staat om hun geregistreerde auto's op afstand te bedienen, zoals het op afstand vergrendelen/ontgrendelen en starten van het voertuig.

Curry legde uit dat een exploit in de inlogpagina van Subaru-werknemers voor het Starlink-systeem hem in staat stelde om een geldig e-mailadres van een werknemer te identificeren, het wachtwoord van de werknemer te wijzigen en elke vorm van twee-factor authenticatie te omzeilen om in te loggen.

Eenmaal in het Starlink-systeem, realiseerde Curry zich dat hij elk geregistreerd Subaru-voertuig kon lokaliseren via een van de volgende gegevens: een klantnaam, telefoonnummer, e-mailadres of voertuigidentificatienummer (VIN). (Merk op dat VIN's gemakkelijk kunnen worden gevonden via een kentekenplaat.) Zodra een auto was gevonden, lag al deze informatie voor het oprapen. Andere beschikbare informatie omvatte factuurgegevens, contactpersonen bij noodgevallen en nog veel meer.

Niet alleen deze persoonlijke gegevens waren gemakkelijk te verkrijgen, maar ook de locatiegeschiedenis van het voertuig over het afgelopen jaar was beschikbaar en volgens Curry gemakkelijk te downloaden en te plotten. Deze locatiegegevens bevatten een tijdstempel, de kilometerteller van het voertuig en de GPS-coördinaten (tot op ongeveer 5 meter nauwkeurig).

Het meest verontrustende was misschien wel dat Curry de auto van een vriend in de database kon vinden en zijn persoonlijke gegevens als geautoriseerde Starlink-gebruiker aan dat voertuig kon toevoegen. Zodra hij was toegevoegd, kon hij de auto op afstand bedienen. Hierdoor kon hij de auto vergrendelen en ontgrendelen, op afstand starten en de locatie bepalen. De getroffen Starlink-gebruiker ontving geen melding dat een andere gebruiker was toegevoegd aan het Starlink-account van de auto.

Subaru lijkt het lek, dat Curry in november 2024 ontdekte, inmiddels te hebben gepatcht. Het siert de autofabrikant dat hij binnen 24 uur na ontvangst van de melding van Curry een patch heeft uitgebracht. Curry's bericht herinnert ons eraan dat onze auto's, hoe slim ze ook zijn, nog steeds erg kwetsbaar kunnen zijn voor dieven en andere kwaadwillenden.

Koop een CARLOCK 4G OBD car tracker op Amazon.

Bron(nen)

Sam Curry

Please share our article, every link counts!
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2025 01 > Beveiligingsfout in Subaru autosoftware geeft hackers volledige toegang tot voertuigen
Sam Medley, 2025-01-25 (Update: 2025-01-26)