Do milionů aut se mohli nabourat hackeři a ovládat je. Týkalo se to i vašeho auta?
Subaru selhalo v testu bezpečnosti: hackeři odemkli vůz, sledovali polohu a historii jízd. Automobilka chybu opravila, ale rizika zůstávají.
Subaru propadlo v bezpečnostním testu
Američan Sam Curry učinil před rokem krásné gesto vůči své matce, když ji pořídil zcela nové Subaru Impreza. Jako pracovníka kybernetické bezpečnosti jej ale zajímalo, jak kvalitně má vozidlo zajištěné zabezpečení vůči napadení. Dohodl se proto s obdarovanou, že mu vozidlo poskytne pro výzkumné účely. Netrvalo dlouho a spolu s kolegou práce se mu povedlo vozidlo ovládat na dálku.
Jako vstupní brána posloužilo dvojici internetové připojení vozu k síti Starlink. Nejde o satelitní připojení z dílen Tesly, nýbrž o internetové funkce Subaru, které provozuje na několik světových trzích. Po pár pokusech a zapojení webového portálu automobilky byli schopni vůz vzdáleně odemknout, rozeznít klakson, dokonce vůz nastartovat. Ovládání navíc mohli spárovat s libovolným mobilním telefonem nebo počítačem. Překvapením bylo, když našli cestu, jak vůz pohodlně na dálku sledovat s jeho aktuální polohou i historií za celou dobu vlastnictví. Mapa byla velmi podrobná, a dala by se použít k velmi přesnému sledování majitele.
Po roce vlastnění byl syn schopný pozorovat cesty vozu od prvního dne. Je ale pravděpodobné, že u starších vozidel by historie sahala ještě dále. Curry si je vědom, že v nesprávných rukách by taková historie pohybu mohla být velmi nebezpečná. Nemusí přitom jít jen o soukromé osoby, u politických nebo veřejně známých osob jsou tato data ještě více zneužitelná. Curry s kolegou Shahem o jejich postupech sepsali podrobný blog. Výsledkem jejich práce byla možnost sledovat miliony vozidel japonské značky.
Zaměstnanci v roli Velkého bratra
Chyby v kódu se nacházely i na webu společnosti, přes který byli schopni získat přístup do účtu zaměstnance, přes který mohli měnit i oprávnění přístupových telefonů. Dvojice předala své kompletní poznatky a zprávy koncem listopadu loňského roku automobilce, která ve velmi krátké době vydala pro všechny vozy opravný balíček. Oba specialisté ale dodávají, že jejich poznatky jsou pouze jedny z posledních, které se nejen v systému Subaru nachází. Na objevování podobných chyb neustále pracují i další skupiny a bezpečnostní agentury po celém světě.
Subaru v tom rozhodně není samo, podobné potíže se v minulosti objevily například u Hondy, Toyoty, vozech Hyundai nebo Kia. Každý výrobce ovšem neúmyslně ponechá zranitelné části kódu v jiných oblastech. Chyba Subaru tak může být u jiných automobilek od začátku silnou součástí kódu. I když ale automobilka opravila chybu z pohledu zákazníka, zaměstnanci budou ke všem součástem mít přístup i nadále. Jestliže se tedy někdo dostane do systému správy Subaru, může se nepříjemná situace opakovat.
V tomto případě byl případ uzavřen bez toho, aniž by se k datům dostali skutečně nebezpečné osoby. Jakmile Curry a Shah předali informace automobilce, nikdo jiný už neměl šanci slabý kód zneužít. Nutný přístup zaměstnanců automobilka vysvětluje tím, že je potřebný pro případ automatického hlášení nehody. Takové tvrzení smysl dává, ale zaručeně není potřebné, aby se ukládala natolik detailní historie polohy vozu. Především jde o to, že zákazníci nemají nejmenší tušení, kolik informací o jejich pohybu i nich samotných zaměstnanci automobilky mají.
Autor článku
Zajímám se o moderní technologie nejen v oblasti automotive. Jak je něco digitální a ideálně s Androidem, většinou to má i moji pozornost. Když ve volném čase neřídím, tak většinou něco kutím na rodinném vozovém parku nebo jezdím na kole.
Zajímám se o moderní technologie nejen v oblasti automotive. Jak je něco digitální a ideálně s Androidem, většinou to má i moji pozornost. Když ve volném čase neřídím, tak většinou něco kutím na rodinném vozovém parku nebo jezdím na kole.
