اكتشف الهاكرز سام كاري وشوبهام شاه طريقة لاختراق مركبات سوبارو باستخدام تطبيق خدمات ستارلينك المتصلة بالشركة. تطبيق Myسوبارو هو جزء من هذا النظام ويسمح للمالكين بتشغيل أو إيقاف تشغيل المحرك وفتح الأبواب وتتبع السيارة والمزيد.
الهاكرز واختراق سيارات سوبارو؟
وقد أصبحت المركبات أكثر اتصالاً من أي وقت مضى. ويمكن لنظام تحديد المواقع العالمي (GPS) وأنظمة مساعدة السائق المتقدمة وتطبيقات المعلومات والترفيه وغيرها من التقنيات مساعدة السائقين. ومع ذلك، فإن ميزات مثل هذه يمكن أن تفتح الباب أمام اختراق السيارة، وهذا ما حدث مع سوبارو.
ومع ذلك لا داعي للقلق ، فقد أرسل كاري وشاه الثغرة إلى شركة سوبارو ، وقامت شركة صناعة السيارات بإصلاح المشكلة في اليوم التالي. ثم انتظر كاري شهرين قبل توثيق الاختراق على مدونته.
كيفية اختراق سيارة سوبارو
بدأت العملية عندما اشترى كاري لوالدته سيارة Subaru إمبريزا 2023 باتفاق يسمح له بمحاولة اختراق السيارة. اعتقد أن تطبيق MySubaru التابع لشركة Starlink كان وسيلة محتملة لاختراق النظام. وبعد البحث المتعمق، وجدوا طريقة لإعادة تعيين حساب Starlink الخاص بالموظف دون الحاجة إلى أي تأكيد إضافي من صاحب الحساب. يمكن للمتسلل الدخول إلى البريد الإلكتروني للموظف والاستيلاء على الحساب.
كيف وصل الهاكرز لموظفي ستارلينك
لم يكن العثور على عنوان بريد إلكتروني صعبًا للغاية. ذهب كاري وشاه إلى موقع LinkedIn وبحثا عن أشخاص يعملون في Starlink وفي المحاولة الرابعة، تمكنا من تسجيل الدخول بنجاح. سمح موقع Starlink المخصص للموظفين لكاري بالبحث عن اسم عائلة والدته والرمز البريدي الخاص بها، وظهرت سيارتها Impreza تضمنت المعلومات الوقت والتاريخ وقراءة عداد المسافات وإحداثيات خط العرض والطول لموقع السيارة خلال العام الماضي كلما بدأ تشغيل المحرك أو استخدمت والدة كاري أمرًا للاتصال عن بعد.
وقد تجاوزت الثغرة الأمنية ذلك، فقد تمكن Curry من منح أو تعديل الوصول إلى تطبيق MySubaru الخاص بمالك السيارة. وتضمنت البيانات المحفوظة الاسم الأخير للعميل ورقم الهاتف وعنوان البريد الإلكتروني ورقم تعريف السيارة (VIN).
اخترا ق حساب مالكة سيارة سوبارو
ولإثبات ما كان ممكنًا، اتصل المتسللون بصديقة وحصلوا على إذن لاختراق حسابها على Starlink وبحثوا عن سيارتها وأضافوا أنفسهم كمستخدمين مصرح لهم. وأظهر المتسللون قوتهم بإرسال أمر لفتح الأبواب، وقد فعلوا ذلك. وفي تطور مثير للقلق بشكل خاص، لم تتلق صاحبة الحساب أي إشعارات حول قيام شخص ما بإضافة مستخدمين جدد إلى حسابها.
ثغرات تسمح باختراق BMW وفيراري ومرسيدس وبورشه
لم يكن كاري جديدًا في البحث عن نقاط الضعف في برامج المركبات. في عام 2024، وجد ثغرة أمنية في مركبات كيا تسمح بتشغيل المحرك، وقفل/فتح الأبواب، وإطلاق بوق السيارة ، وتشغيل الأضواء. في عام 2023، نشر قائمة بالثغرات الأمنية لدى شركات صناعة السيارات، بما في ذلك بي إم دبليو ومرسيدس وفيراري وبورشه وغيرها.
المخاوف الأمنية من اختراق السيارات
من الرائع أن يقدم كاري وشاه هذه الثغرة الأمنية لشركة Subaru بهذه السرعة. ومع ذلك، فمن المخيف أن يتمكن طرف ثالث من الوصول إلى مركبة دون بذل الكثير من الجهد. تثير مراقبة موقع GPS مخاوف تتعلق بالخصوصية لأن شخصًا ما قد يتتبع المركبة وربما مالكها. وتضيف القدرة على فتح الأبواب عن بُعد مخاوف أمنية إلى هذه القضية.