Até pouco tempo atrás, veículos da marca japonesa Subaru tinham uma grave vulnerabilidade de segurança. Caso fosse explorada por pessoas mal intencionadas, a brecha permitiria o acesso a dados completos e até ações de controle de um carro.

Quem descobriu o problema foi o pesquisador em cibersegurança Sam Curry, ao lado do amigo Shubham Shah. Em novembro do ano passado, a dupla pegou emprestado o modelo Subaru Impreza ano 2023 da mãe de Sam para “brincar” com a cibersegurança do veículo — sem imaginar o nível que acesso que eles conseguiriam.

Ao ganhar acesso a um painel de controle apenas para funcionários, eles conseguiram rastrear a localização de praticamente qualquer cliente da montadora nos Estados Unidos, Japão e Canadá pelos últimos 12 meses. Além disso, foi possível até fazer ações básicas em veículos de outras pessoas, como dar partida ou destravar automóveis de formar remota.

A vulnerabilidade da Subaru

De acordo com Curry, o acesso foi possível graças a uma falha de segurança no STARLINK. Esse é o sistema de infotenimento de carros da montadora, sem relação com a provedora de internet via satélite de Elon Musk com o mesmo nome.

Os pesquisadores conseguiram resetar uma conta de funcionário pelo painel sem precisar de um token de confirmação, coletando as informações como o email corporativo de alguém a partir de pesquisas no LinkedIn.

25_01_24_065526.jpg
O painel de controle para funcionários. (Imagem: Reprodução?/Sam Curry)

Com o acesso garantido, Curry e o colega conseguiram entrar em um painel de controle interno com informações que eles não faziam ideia que eram coletadas pelo STARLINK. Elas incluíam até detalhes precisos da localização de um carro durante meses — como todos os trajetos feitos pela mãe do pesquisador, das idas à igreja até visitas para amigos.

Como o serviço poderia ser usado para suporte, o painel de controle permitia acesso também a uma série de comandos remotos. Dessa forma, foi possível ligar, desligar e até destravar veículos com base em informações básicas, como sobrenome, código de área, número de telefone ou placa do carro.

25_01_24_065404.jpg
O mapa da Subaru com a localização do veículo de um cliente. (Imagem: Reprodução?/Sam Curry)

Curry fez o novo teste com uma amiga que estava em outro local e também é dona de um carro da Subaru. Novamente, o experimento deu certo com certa facilidade: o veículo foi destravado remotamente, enquanto ela olhava o automóvel de longe e gravava a situação.

O que diz a Subaru?

Não há indícios de que essa vulnerabilidade tenha sido explorada por criminosos ou pessoas mal intencionadas, mas a existência dessa brecha — e a quantidade de dados coletados pela montadora — preocuparam o pesquisador durante o relato.

A Subaru recebeu a denúncia antes que Sam publicasse uma postagem contando todos os detalhes do experimento. A montadora fechou a vulnerabilidade, impedindo um acesso similar, e só então ele revelou em texto o que foi descoberto nos testes.

Ainda assim, o STARLINK segue em operação coletando essa alta quantidade de informações sobre os clientes, muitos sem saber que podem até ser rastreados pela companhia.


Previous post Torneio de previsões oferece prêmio em dólar para brasileiros
Next post Operator: conheça a IA 'irmã' do ChatGTP que realiza tarefas no computador para você

Mais Histórias