Curry ve Shah bulgularını Kasım ayı sonlarında Subaru’ya bildirdiler ve Subaru, Starlink güvenlik kusurlarını hızla düzeltti. Ancak araştırmacılar, Subaru web güvenlik açıklarının kendilerinin ve onlarla çalışan diğer güvenlik araştırmacılarının, aralarında Acura, Genesis, Honda, Hyundai’nin de bulunduğu bir düzineden fazla otomobil üreticisini etkilediğini buldukları benzer web tabanlı kusurlar serisinin yalnızca en sonuncusu olduğu konusunda uyarıyor. , Infiniti, Kia, Toyota ve diğerleri. Diğer otomobil şirketlerinin web araçlarında da henüz keşfedilmemiş benzer ciddi hacklenebilir hataların mevcut olduğuna dair çok az şüphe olduğunu söylüyorlar.
Özellikle Subaru vakasında, keşiflerinin, Subaru’nun portalına erişimi olanların müşterilerinin hareketlerini ne kadar yaygın bir şekilde takip edebildiğine dair ipuçları verdiğine dikkat çekiyorlar; bu, onu açığa çıkaran web güvenlik açıklarından çok daha uzun sürecek bir gizlilik sorunu. Curry, “Mesele şu ki, bu yamalanmış olsa bile bu işlevsellik Subaru çalışanları için hala mevcut olacak” diyor. “Bir çalışanın bir yıllık konum geçmişinizi çıkarması normal bir işlevselliktir.”
WIRED, Curry ve Shah’ın bulguları hakkında yorum yapmak için Subaru’ya ulaştığında, bir sözcü şöyle yanıt verdi: “Bağımsız güvenlik araştırmacıları tarafından bilgilendirildikten sonra, [Subaru] Starlink hizmetinde üçüncü bir tarafın Starlink hesaplarına erişmesine izin verebilecek bir güvenlik açığı keşfetti. Güvenlik açığı anında kapatıldı ve hiçbir müşteri bilgisine izinsiz erişilemedi.”
Subaru sözcüsü ayrıca WIRED’e şunu doğruladı: “Subaru of America’da iş ilgilerine göre konum verilerine erişebilen çalışanlar var.” Şirket, örnek olarak çalışanların bir aracın konumunu ilk müdahale ekipleriyle paylaşma erişimine sahip olduğunu gösterdi. Subaru’nun açıklamasında, “Tüm bu kişiler uygun eğitim alıyor ve gerektiğinde uygun gizlilik, güvenlik ve NDA sözleşmelerini imzalamaları gerekiyor” diye ekledi: “Bu sistemler, sürekli olarak gelişen güvenlik izleme çözümlerine sahiptir. modern siber tehditlerle mücadele etmek için.”
Subaru’nun bir çarpışma hakkında ilk müdahale ekiplerini bilgilendirme örneğine yanıt veren Curry, bunun neredeyse bir yıllık konum geçmişi gerektirmediğini belirtti. Şirket, WIRED’e müşterilerin konum geçmişlerini ne kadar geriye saklayıp çalışanların kullanımına sunduğu sorusuna yanıt vermedi.
Shah ve Curry’nin onları Subaru’nun güvenlik açıklarını keşfetmesine yönlendiren araştırması, Curry’nin annesinin Starlink uygulamasının çalışanlara yönelik bir yönetim alanı olduğunu fark ettikleri SubaruCS.com alanına bağlı olduğunu bulmalarıyla başladı. Bu siteyi güvenlik kusurlarına karşı araştırdıklarında, çalışanların şifrelerini yalnızca e-posta adreslerini tahmin ederek sıfırlayabildiklerini keşfettiler; bu da onlara, e-postalarını bulabildikleri herhangi bir çalışanın hesabını ele geçirme olanağı verdi. Parola sıfırlama işlevi iki güvenlik sorusunun yanıtını istedi ancak bu yanıtların, Subaru’nun sunucusunda değil, kullanıcının tarayıcısında yerel olarak çalışan kodla kontrol edildiğini ve bu sayede güvenlik önleminin kolayca atlanabildiğini buldular. Shah, “Buna yol açan gerçekten çok sayıda sistemik başarısızlık vardı” diyor.
İki araştırmacı, LinkedIn’de bir Subaru Starlink geliştiricisinin e-posta adresini bulduklarını, çalışanın hesabını ele geçirdiklerini ve hemen bu çalışanın erişimini herhangi bir Subaru sahibini soyadına, posta koduna, e-posta adresine, telefonuna göre aramak için kullanabileceklerini bulduklarını söyledi. Starlink yapılandırmalarına erişmek için numarayı veya plakayı girin. Daha sonra saniyeler içinde, aşağıdaki videoda gösterildiği gibi, o kullanıcının aracının uzaktan kilidini açma, korna çalma, kontağı başlatma veya yerini bulma yeteneği de dahil olmak üzere Starlink özelliklerinin kontrolünü yeniden atayabilirler.