最近、衝撃的な啓示がありましたスターリンクに接続された車両には欠陥がありました。欠陥により、何百万もの車がハッキングやロケーショントラッキングに対して脆弱になりました。
セキュリティ研究者のサム・カリーとシュバム・シャーは、車両をリモートコントロールし、敏感な場所の履歴にアクセスできるようにするいくつかの重要な欠陥を発見しました。これにより、あなたの情報があなたの車で安全でプライベートであるかどうかを考える時間を与えるかもしれません。
研究者がスバルの脆弱性を発見した方法
an調査カレーが先に進み、母親の2023年のスバル・インプレッサの接続された機能を尋ねたときに始まりました。彼は驚くべき何かへのカジュアルな実験として出発しました。スバルのスターリンクプラットフォームを使用したロック解除された車の発見であり、過去1年間のどこにいたかを追跡しました。
SubaruのStarlink従業員ポータルの弱点を特定することにより、研究者は、従業員のメールアドレスのみでパスワードをリセットできることを発見しました。システムは、Subaruのサーバーの代わりにユーザーのブラウザでセキュリティの質問をローカルに確認しました。
従業員アカウントを使用すると、StarLink対応の車両を見つけてから、コントロールを別のデバイスまたはコンピューターに再割り当てすることができました。
スバルスターリンクデータ侵害の範囲
によると有線、専門家は、彼らの調査結果を冷静に正確に明確に示しています。妥協したポータルを通して、彼らは次のとおりです。
1年間のアクセス可能なきめの細かい位置データ、旅行、医師の訪問、駐車場を明らかにします
ドアロック、イグニッション、ホーンなどの制御車両機能。
名前、電子メール、ナンバープレートなどの個人情報を使用して識別された所有者。
カレーとシャーは、これらの欠陥は盗難とストーカーの道を開いただけでなく、自動車会社による自動車の過剰な脱出に関するより大きな懸念を表していると述べました。
SubaruはStarLinkプラットフォームに存在する脆弱性をパッチしましたか?
研究者が2024年11月に調査結果を明らかにした後、スバルはすぐに対応しました。同社はStarlinkプラットフォームの脆弱性にパッチを当て、スポークスマンは顧客データへの不正アクセスが発生しなかったことを保証しました。しかし、スバルは、従業員が最初の対応者を支援するなど、合法的な目的で車両の位置データにアクセスできることを確認しました。
「これはパッチが適用されていますが、この機能はスバルの従業員にまだ存在します。従業員が1年分の場所の履歴を引き上げることができるのは通常の機能です」とカリーは言いました。
スバルはこのプライバシーの悪夢に対処するのに一人ではありません
この場合、スバルだけではありません。同様の脆弱性の欠陥は、アキュラ、ホンダ、ヒュンダイ、BMWなどの車両で発見されています。
何度も何度も、研究者は、Webベースの欠陥が不正アクセスをどのように許可できるかを証明していますが、ほとんどの自動車メーカーは適切な保護手段なしで大量のドライバーデータを収集します。
Mozillaの2023年のレポートは、現代車をブランド化しました「プライバシーの悪夢」。メーカーの92%が、収集されたデータをドライバーにほとんど制御できず、84%が情報を共有または販売する権利を留保していると述べました。
透明性の欠如は依然として懸念の原因です。スバルは位置データを販売していないと主張していますが、透明性と収集を制御しています。
カリフォルニアの消費者連盟のエグゼクティブディレクターであるロバートヘレルは、人々が気付いていない方法で追跡されていると述べ、より厳しい規制が消費者を保護する時が来たと述べた。
