Subaru membiarkan kelemahan keamanan menganga yang, meskipun telah ditambal, mengungkap banyak sekali masalah privasi kendaraan modern. Peneliti keamanan Sam Curry dan Shubham Shah melaporkan temuan mereka (via Kabel) tentang portal web karyawan yang mudah diretas. Setelah mendapatkan akses, mereka dapat mengendalikan kendaraan uji dari jarak jauh dan melihat data lokasi selama satu tahun. Mereka memperingatkan bahwa Subaru tidak sendirian dalam lemahnya keamanan data kendaraan.
Setelah analis keamanan memberi tahu Subaru, perusahaan tersebut segera menambal eksploitasi tersebut. Untungnya, para peneliti mengatakan bahwa peretas yang kurang etis belum pernah melanggarnya sebelumnya. Namun mereka mengatakan karyawan resmi Subaru masih dapat mengakses riwayat lokasi pemilik hanya dengan satu informasi berikut: nama belakang pemilik, kode pos, alamat email, nomor telepon atau plat nomor.
Engadget mengirim email kepada Subaru untuk memberikan komentar, dan kami akan memperbarui cerita ini jika kami mendengarnya kembali.
Portal admin yang diretas adalah bagian dari rangkaian fitur konektivitas Starlink Subaru. (Tidak ada hubungannya dengan layanan internet satelit SpaceX dengan nama yang sama.) Curry dan Shah masuk dengan menemukan alamat email karyawan Subaru Starlink di LinkedIn dan mengatur ulang kata sandi pekerja tersebut setelah melewati dua pertanyaan keamanan yang diperlukan — karena ini terjadi di pengguna akhir browser web, bukan server Subaru. Mereka juga melewati autentikasi dua faktor dengan melakukan “hal paling sederhana yang dapat kami pikirkan: menghapus overlay sisi klien dari UI.”
Meskipun pengujian yang dilakukan para peneliti menelusuri lokasi kendaraan uji tersebut satu tahun yang lalu, mereka tidak dapat mengesampingkan kemungkinan bahwa karyawan resmi Subaru dapat mengintip lebih jauh lagi. Itu karena mobil uji (Subaru Impreza Curry 2023 yang dibelikan ibunya dengan syarat bisa diretas) baru digunakan sekitar itu. Data lokasi juga tidak digeneralisasikan ke suatu wilayah yang luas: Data tersebut akurat hingga kurang dari 17 kaki dan diperbarui setiap kali mesin dihidupkan.
“Setelah mencari dan menemukan kendaraan saya sendiri di dasbor, saya mengonfirmasi bahwa dasbor admin Starlink seharusnya memiliki akses ke hampir semua Subaru di Amerika Serikat, Kanada, dan Jepang,” tulis Curry. “Kami ingin memastikan bahwa tidak ada yang hilang, jadi kami menghubungi seorang teman dan bertanya apakah kami dapat meretas mobilnya untuk menunjukkan bahwa tidak ada prasyarat atau fitur yang sebenarnya dapat mencegah pengambilalihan kendaraan secara penuh. Dia mengirimi kami plat nomornya, kami menarik kendaraannya di panel admin, lalu akhirnya kami menambahkan diri kami ke mobilnya.”
Selain melacak lokasi mereka, portal admin memungkinkan para peneliti untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan Subaru yang terhubung dengan Starlink dari jarak jauh. Mereka mengatakan ibu Curry tidak pernah menerima pemberitahuan bahwa mereka telah menambahkan diri mereka sebagai pengguna resmi, juga tidak menerima peringatan ketika mereka membuka kunci mobilnya.
Mereka juga dapat menanyakan dan mengambil informasi pribadi pelanggan mana pun, termasuk kontak darurat, pengguna resmi, alamat rumah, empat digit terakhir kartu kredit, dan PIN kendaraan. Selain itu, mereka dapat mengakses riwayat panggilan dukungan pemilik dan pemilik kendaraan sebelumnya, pembacaan odometer, dan riwayat penjualan.
Para peneliti keamanan mengatakan kegagalan pelacakan dan keamanan – yang berasal dari kemampuan seorang karyawan untuk mengakses “banyak informasi pribadi” – bukanlah hal yang unik bagi Subaru. Kabel mencatat bahwa penelitian Curry dan Shah sebelumnya mengungkap kelemahan serupa yang mempengaruhi kendaraan dari Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota dan lain-lain.
Pasangan ini yakin ada alasan untuk kekhawatiran serius mengenai pelacakan lokasi industri dan langkah-langkah keamanan yang buruk. “Industri otomotif memiliki keunikan karena seorang karyawan berusia 18 tahun dari Texas dapat menanyakan informasi penagihan kendaraan di California, dan hal itu tidak akan menimbulkan peringatan apa pun,” tulis Curry. “Itu adalah bagian dari pekerjaan normal mereka sehari-hari. Semua karyawan memiliki akses ke banyak informasi pribadi, dan semuanya bergantung pada kepercayaan. Tampaknya sangat sulit untuk mengamankan sistem ini ketika akses luas seperti itu sudah tertanam dalam sistem secara default.”
Laporan lengkap para peneliti layak untuk dibaca.