يجد صائد الأخطاء خللًا يسمح بالتحكم في ملايين سيارات Subarus عن بُعد

اكتشف صائد أخطاء مشهور ثغرة في بوابة الويب الخاصة بعلامة Subaru التجارية. وبفضل هذه الثغرة الأمنية، تمكن من تحديد موقع الملايين من سيارات الشركة المصنعة المباعة في الولايات المتحدة واليابان وكندا والتحكم فيها عن بعد.

Sam Curry هو صائد حشرات مشهور ويخشىه مصنعو السيارات. لسبب وجيه، اكتشف هذا المتسلل ذو الخبرة بالفعل عيوبًا خطيرة في أنظمة الكمبيوتر للعديد من العلامات التجارية في الماضي،ابدأ مع كيا.

في سبتمبر الماضي، ذكرنا أيضًا اكتشافه المثير للقلق في أعمدتنا. لتلخيص الحقائق بإيجاز، اكتشف سام كاري خللًا في بوابة الويب الخاصة بشركة كيا. بمجرد استغلالها،كان قادرًا على التحكم عن بعد في الملايين من مركبات العلامة التجارية(فتح الأبواب، البوق، الوصول إلى مقاطع الفيديو من الكاميرات الموجودة على متن السيارة، إيقاف/بدء تشغيل السيارة، وما إلى ذلك).

خلل في بوابة ويب سوبارو

ومع ذلك، كما ذكر زملاؤنا من موقع Wired، فقد اكتشف المتسلل للتوعيب مماثل في سيارات سوبارو.تمامًا كما هو الحال في شركة كيا، استغل هو وشريكه شوبهام شاه ثغرة أمنية في موقع سوبارو الإلكتروني المخصص لموظفي الشركة. ثم سمح لهم هذا الخلل بذلكاختراق حساب الموظف.

ونتيجة لذلك، أصبح لدى المتسللين الحرية في استعادة السيطرة على الوظائفستارلينكمن سيارات العلامة التجارية (وهي ميزة متوفرة فقط في الولايات المتحدة واليابان وكندا). بالإضافة إلى ذلك، تمكنوا أيضًا من الوصولجميع بيانات موقع السيارةيديرها موظفو العلامة التجارية.

يمكنه تتبع تحركات السيارة على مدار عام!

ولأغراض التجربة، استغل سام كاري هذا الخلل نفسهوالدته سوبارو امبريزا 2023.ومثل عائلة كيا، كانوا أيضًا قادرين على ذلكتمكين ميزات مماثلة عن بعد(قفل الأبواب، إطلاق آلة التنبيه، تشغيل السيارة، وما إلى ذلك). ولكن الأسوأ من ذلك، بفضل وظائف تحديد الموقع الجغرافي التي يوفرها نظام Starlink الموجود على متن الطائرة، تمكن المتسللان من الحصول علىتاريخ مفصل لحركات السيارة على مدار عام كامل!

كما يوضح كاري، فقد كان قادرًا على معرفة مكان طبيب والدته، ومكان إقامة أصدقائها، وحتى مكان وقوف السيارات المحدد الذي كانت تستخدمه كل يوم أحد قبل الذهاب إلى الكنيسة.

"يمكنك استرجاع سجل مواقع السيارة لمدة عام على الأقل، حيث يتم عرضه بدقة، وأحيانًا عدة مرات في اليوم. سواء قام شخص ما بخيانة زوجته، أو قام بالإجهاض، أو كان جزءًا من مجموعة سياسية، فهناك مليون سيناريو حيث يمكنك استخدام هذه الثغرة ضد شخص ما.يؤكد.

حتى نوفمبر 2024،أبلغوا سوبارو باكتشافهم الرهيب.سارعت الشركة المصنعة الكورية الجنوبية إلىعيوب وثيقة مرتبطة بأنظمة Starlink. ولكن وفقا لهم، فإن هذه المشكلة تتعلق بجزء أوسع بكثير من الصناعة. ويقول سام كاري إنه وغيره من الباحثين في مجال أمن الكمبيوتر اكتشفوا عيوبًا مماثلة في شركات مصنعة أخرى، مثل أكيورا وجينيسيس وهوندا وهيونداي وحتى كيا وتويوتا.

مصدر :سام كاري.نت