أبلغ كاري وشاه النتائج التي توصلا إليها إلى سوبارو في أواخر نوفمبر، وسرعان ما قامت سوبارو بتصحيح عيوب ستارلينك الأمنية. لكن الباحثين يحذرون من أن ثغرات الويب الخاصة بشركة Subaru هي الأحدث في سلسلة طويلة من العيوب المماثلة المستندة إلى الويب، والتي اكتشفها هم وباحثون أمنيون آخرون يعملون معهم والتي أثرت على أكثر من اثنتي عشرة شركة لصناعة السيارات، بما في ذلك Acura وGenesis وHonda وHyundai. وإنفينيتي وكيا وتويوتا وغيرها الكثير. ويقولون إنه ليس هناك شك في وجود أخطاء خطيرة مماثلة قابلة للاختراق في أدوات الويب الخاصة بشركات السيارات الأخرى والتي لم يتم اكتشافها بعد.
وفي حالة سوبارو، على وجه الخصوص، أشاروا أيضًا إلى أن اكتشافهم يشير إلى مدى انتشار أولئك الذين لديهم حق الوصول إلى بوابة سوبارو في تتبع تحركات عملائها، وهي مشكلة خصوصية ستستمر لفترة أطول بكثير من ثغرات الويب التي كشفت عنها. يقول كاري: “الأمر هو أنه على الرغم من تصحيح هذا الأمر، إلا أن هذه الوظيفة ستظل موجودة لموظفي سوبارو”. “إنها مجرد وظيفة عادية يمكن للموظف من خلالها سحب سجل مواقعك لمدة عام.”
عندما تواصلت WIRED مع سوبارو للتعليق على النتائج التي توصل إليها كاري وشاه، رد المتحدث الرسمي في بيان أنه “بعد إخطار باحثين أمنيين مستقلين، اكتشفت (سوبارو) ثغرة أمنية في خدمة Starlink الخاصة بها والتي من المحتمل أن تسمح لطرف ثالث بالوصول إلى Starlink الحسابات. تم إغلاق الثغرة الأمنية على الفور ولم يتم الوصول إلى أي معلومات عن العميل دون إذن.
وأكد المتحدث باسم سوبارو أيضًا لـ WIRED أن “هناك موظفين في شركة Subaru of America، استنادًا إلى صلة وظائفهم، يمكنهم الوصول إلى بيانات الموقع”. وقدمت الشركة كمثال على أن الموظفين لديهم هذا الوصول لمشاركة موقع السيارة مع المستجيبين الأوائل في وأضاف بيان سوبارو: “يتلقى جميع هؤلاء الأفراد التدريب المناسب ويطلب منهم التوقيع على اتفاقيات الخصوصية والأمن واتفاقيات عدم الإفشاء المناسبة حسب الحاجة”. تتطور لمواجهة التهديدات السيبرانية الحديثة.
ردًا على مثال سوبارو في إخطار المستجيبين الأوائل بشأن الاصطدام، يشير كاري إلى أن ذلك لا يتطلب سجلًا للموقع لمدة عام تقريبًا. لم ترد الشركة على سؤال WIRED عن المدة التي تحتفظ فيها بسجلات مواقع العملاء وإتاحتها للموظفين.
بدأت أبحاث شاه وكاري التي قادتهما إلى اكتشاف نقاط الضعف في سوبارو عندما اكتشفا أن تطبيق Starlink الخاص بوالدة كاري متصل بالمجال SubaruCS.com، والذي أدركا أنه مجال إداري للموظفين. ومن خلال البحث في هذا الموقع بحثًا عن عيوب أمنية، وجدوا أنه يمكنهم إعادة تعيين كلمات مرور الموظفين ببساطة عن طريق تخمين عنوان بريدهم الإلكتروني، مما منحهم القدرة على السيطرة على حساب أي موظف يمكنهم العثور على بريده الإلكتروني. طلبت وظيفة إعادة تعيين كلمة المرور إجابات على سؤالين أمنيين، لكنهم وجدوا أنه تم التحقق من هذه الإجابات باستخدام رمز يتم تشغيله محليًا في متصفح المستخدم، وليس على خادم Subaru، مما يسمح بتجاوز الحماية بسهولة. يقول شاه: “كانت هناك بالفعل إخفاقات نظامية متعددة أدت إلى ذلك”.
يقول الباحثان إنهما عثرا على عنوان البريد الإلكتروني لمطور Subaru Starlink على LinkedIn، واستوليا على حساب الموظف، ووجدا على الفور أنه بإمكانهما استخدام وصول الموظف للبحث عن أي مالك Subaru حسب الاسم الأخير والرمز البريدي وعنوان البريد الإلكتروني والهاتف. الرقم أو لوحة الترخيص للوصول إلى تكوينات Starlink الخاصة بهم. وفي ثوانٍ، يمكنهم بعد ذلك إعادة تعيين التحكم في ميزات Starlink لمركبة ذلك المستخدم، بما في ذلك القدرة على فتح السيارة عن بعد، أو إطلاق البوق، أو بدء إشعالها، أو تحديد موقعها، كما هو موضح في الفيديو أدناه.
