Ortaya çıkan açık, Subaru markalı araçların bir yıllık konum geçmişi beş metreye kadar hassasiyetle sunabiliyordu.
Güvenlik araştırmacısı Sam Curry, annesine bir Subaru almayı teklif ederek, aracı hackleme izni istedi. Araştırma, MySubaru Mobil Uygulaması üzerinden başladı ancak ilk denemeler başarısız oldu. Bunun üzerine Curry, çalışanlara yönelik uygulamaları ve Subaru’nun diğer internet sitelerini incelemeye karar verdi.
Aranan güvenlik zaafı çalışan sistemlerinde bulundu
Curry ve bir arkadaşı, Subaru’ya ait bir alt alan adı keşfetti. Çalışan giriş bilgileri gerektiren bu sistemde, JavaScript dizininde zayıf bir parola sıfırlama kodu bulundu. Geçerli bir çalışan e-posta adresine ihtiyaç duyan araştırmacılar, bunu basit bir web aramasıyla buldu ve parolayı sıfırlayarak giriş yaptılar.
Sistemde iki faktörlü kimlik doğrulama (2FA) bulunmasına rağmen, bu koruma yalnızca istemci tarafında çalışıyordu ve kolayca devre dışı bırakıldı. Sisteme giriş yapan Curry, araç konumlarını listeleyen bir paneli inceledi. Annesinin soyadı ve posta kodunu girerek aracın bir yıl boyunca kaydedilen tüm hareketlerini izleyebildi.
Daha da endişe verici olan, Starlink özellikli Subaru araçlarının uzaktan kontrol edilebilmesiydi. Bir arkadaşlarının aracı üzerinde izin alarak test gerçekleştirdiler. Arkadaşlarının plaka numarasını kullanarak araç bilgilerine erişip kendilerini yetkili kullanıcı olarak eklediler. Ardından aracın kapılarını uzaktan açmayı başardılar. Araç sahibine bu yetkilendirme hakkında herhangi bir bildirim yapılmadı.
Subaru, gereken önlemleri hızlıca aldı
Curry, bulgularını Subaru’ya iletti ve şirket, güvenlik açığını bir gün içinde kapattı. Subaru, başka bir kişinin bu açığı kullandığına dair kanıt bulunmadığını açıkladı.
Ancak Curry’nin asıl dikkat çekmek istediği, otomobil sektöründeki güvenlik açıklarının temel nedeniydi. “Bu yazıyı yazarken zorlandım çünkü güvenlik sektöründeki insanlar için şaşırtıcı bir şey anlatmıyorum” diyen Curry, sistemlerin aşırı geniş yetkilerle tasarlandığını ve güvenlik ihlallerinin önlenmesinin zorlaştığını belirtti.
Otomotiv sektöründe çalışanların, başka bir eyaletteki araçların faturalandırma bilgilerine erişebildiğini vurgulayan Curry, bu durumun sistemlerin doğası gereği riskli olduğunu ifade etti. Güvenliğin sağlanması için bu erişim modelinin yeniden değerlendirilmesi gerektiğini söyledi.
