Subaru-autoissa oli järkyttävä haavoittuvuus: miljoonat autot alttiita seurannalle, lukituksen avaamiselle ja käynnistykselle

Vakavasta haavoittuvuudesta ei vaikuta koituneen harmia Subaru-kuskeille. Kuvassa Subaru Crosstek.

Vakava haavoittuvuus jätti miljoonat Subarut alttiiksi hyökkäyksille. Jopa auton käynnistäminen oli mahdollista etänä.

Tietoturvatutkija Sam Curry päätti perehtyä Subarun tietoturvaan ehdottamalla äidilleen erikoista vaihtokauppaa. Äiti saisi tuliterän menopelin, Curry taas mielenkiintoisen hakkerointihaasteen. Osapuolet suostuivat, ja projekti oli menestys – ainakin, mikäli merkittävän haavoittuvuuden löytymistä voi sellaiseksi kutsua.

Tutkija Curry kuvailee blogissaan, kuinka hän havaitsi ensin Subarun älypuhelinsovelluksen olevan turvallista tekoa. Tämä ei kuitenkaan ammattilaista lannistanut, vaan mies päätti sen sijaan keskittyä työntekijöille suunnattuihin verkkosovelluksiin.

Eräästä työntekijäpalvelusta löytyikin aukko, joka mahdollisti salasanan nollaamisen ja jopa kaksivaiheisen tunnistuksen poistamisen. Helpolla verkkohaulla löytyi virallinen, Subaru-työntekijälle kuulunut sähköpostiosoite, ja niin Curry pääsi sisälle järjestelmään.

Tutkija etsi tietokannasta äitinsä auton ja löysi lokitiedoista tarkan listan paikoista, joissa tämä oli ajokkeineen vieraillut. Lisätutkinta osoitti, että myös auton lukituksen poistaminen ja jopa käynnistäminen onnistui etänä, mitä Curry testasi luvan myöntäneen kaverinsa kulkupeliin.

Mikä ikävintä, tuttavalle ei missään vaiheessa tullut ilmoitusta ”uuden kuljettajan” liittymisestä Subarunsa ylläpitäjien joukkoon.

Tutkija Curry ilmoitti löydöksistään Subarulle, joka paikkasi puutteet tietoturvassa nopeasti. Japanilaisyhtiö varmisti myös, ettei haavoittuvuutta ollut ehditty hyödyntää, ja miljoonat älykkäät ajoneuvot vakoilulle altistaneen tietoturva-aukon tarina näyttääkin päättyneen onnellisesti.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla