Miljoenen Subaru’s kunnen op afstand worden gehackt

©Subaru

Miljoenen Subaru’s kunnen op afstand worden gehackt
26 januari om 15:57

Stel, je koopt voor je moeder een auto, met als voorwaarde dat ze je hem laat hacken. De Amerikaanse security-expert Sam Curry deed het. Het kostte hem 10 maanden, maar hij ontdekte een zwakte waardoor miljoenen Subaru-auto’s op afstand kunnen worden geopend: door iemand anders dan de rechtmatige eigenaar.

Curry testte het op een in Amerika verkochte Impreza uit 2023, maar het zou van toepassing zijn op veel meer auto’s van het merk. Het webportaal van Subaru zou hem de mogelijkheid geven om de auto te ontgrendelen, te laten toeteren en zelfs aan te zetten. Dat kan via een computer, maar ook via een smartphone. Daar bleef het echter niet bij. Hij kan ook de locatiegegevens van een jaar terug zien. Dus niet alleen waar de auto zich nu bevindt, maar ook waar -in zijn geval- zijn moeder het hele jaar zoal heen was gereden. Tot op de parkeerplaats op een parkeerterrein specifiek.

Locatiegegevens als gevaar

Nu was dat in het geval van zijn moeder, die naar de kerk, vriendinnen, de winkel of de dokter ging, niet heel spannend (en hij had het immers vantevoren gemeld). Het is natuurlijk een ander verhaal wanneer iemand naar een abortuskliniek, een minnaar of een bepaalde politieke groep gaat. Locatiegegevens kunnen enorm persoonlijk en zelfs gevaarlijk zijn wanneer ze op straat komen te liggen. De locatiegegevens worden geregeld via Starlink en met het bijhouden ervan ga je akkoord wanneer je de auto koopt. Waarschijnlijk niet met het kunnen hacken ervan.

Het zwak had te maken met de Starlink-app die gelinkt is aan Subarucs.com, een website voor Subaru-medewerkers. Op die site zagen ze een makkelijke manier om een wachtwoord van een medewerkers te resetten door een mailadres te raden en een code te gebruiken voor de securityvragen die gewoon via de webbrowser overschreven werden. 

Systemen beveiligen

Curry schrijft: “Het deel dat ik de moeite waard vond om te delen was de impact van de bug zelf, en hoe de verbonden autosystemen eigenlijk werken. De auto-industrie is uniek in die zin dat een 18-jarige werknemer uit Texas de factureringsgegevens van een auto in Californië kan opvragen, zonder dat dit echt alarmbellen doet rinkelen. Het maakt deel uit van hun normale dagelijkse werk. De werknemers hebben allemaal toegang tot heel veel persoonlijke informatie en het hele systeem is gebaseerd op vertrouwen. Het lijkt echt moeilijk om deze systemen echt te beveiligen als zo'n brede toegang standaard in het systeem is ingebouwd.” 

Het is in ieder geval van toepassing op auto’s in Noord-Amerika en Japan. Maar, goed nieuws voor hen: toen Curry zijn bevindingen aan Subaru prijsgaf in november, is er meteen een patch gekomen om het gat in beveiliging te dichten. Subaru geeft aan dat er geen klantgegevens zijn buitgemaakt of gezien zonder toestemming. Ook laat het weten dat er inderdaad medewerkers van Subaru in Amerika zijn die toegang hebben tot locatiedata.