Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Jak luka w Starlink mogła zagrozić tysiącom kierowców?

27 styczeń 2025

Jak luka w Starlink mogła zagrozić tysiącom kierowców?
Leszczak Katarzyna

Leszczak Katarzyna

Badacze bezpieczeństwa odkryli krytyczną lukę w systemie Starlink, stosowanym w pojazdach marki Subaru. Wykorzystując jedynie numer tablicy rejestracyjnej, potencjalni atakujący mogli przejąć kontrolę nad samochodami w Stanach Zjednoczonych, Kanadzie oraz Japonii. 

Studia Cyberbezpieczeństwo WSiZ

Luka, która otworzyła drzwi hakerom

20 listopada 2024 roku badacze Sam Curry i Shubham Shah ujawnili podatność w systemie Subaru Starlink, która pozwalała hakerom uzyskać niemal pełną kontrolę nad samochodami tej marki. Wystarczyły minimalne informacje o właścicielu pojazdu – nazwisko i kod pocztowy, adres e-mail, numer telefonu lub tablica rejestracyjna. Dzięki tej luce atakujący mogli m.in. śledzić lokalizację pojazdu, odblokowywać jego drzwi czy zdalnie uruchamiać silnik.

Z perspektywy użytkownika najniebezpieczniejszym aspektem była możliwość pobrania szczegółowej historii lokalizacji samochodu z ostatniego roku. Dane te były niezwykle precyzyjne, z dokładnością do pięciu metrów, a ich aktualizacja następowała za każdym razem, gdy uruchamiano silnik.

Mechanizm działania ataku

Wszystko zaczęło się od błędu w punkcie końcowym API systemu Starlink o nazwie „resetPassword.json.” Projektanci tego punktu API umożliwili pracownikom Subaru resetowanie haseł bez potrzeby posiadania specjalnego tokena potwierdzającego, co otworzyło furtkę dla przejęcia konta.

Po uzyskaniu dostępu do konta pracownika, badacze znaleźli kolejną podatność – mogli łatwo obejść uwierzytelnianie dwuskładnikowe, modyfikując interfejs użytkownika. W ten sposób dostali się do portalu administracyjnego, gdzie odkryli funkcje pozwalające na wyszukiwanie pojazdów po numerze VIN, nazwisku właściciela, adresie e-mail czy numerze telefonu. Po znalezieniu pojazdu możliwe było przypisanie nowych użytkowników, a nawet przejęcie nad nim kontroli.

Szybka reakcja Subaru

Odkrycie tej luki zostało natychmiast zgłoszone producentowi. Subaru zareagowało błyskawicznie, usuwając problem w ciągu 24 godzin od otrzymania raportu. Co istotne, nie odnotowano żadnych przypadków rzeczywistego wykorzystania tej podatności przez hakerów. Mimo to incydent unaocznił, jak wielkim wyzwaniem jest ochrona danych i systemów w erze cyfrowych technologii.

Podobne problemy dotknęły także inne marki, takie jak Kia, w której systemie dealerów odkryto lukę pozwalającą na lokalizację i potencjalną kradzież samochodów wyprodukowanych po 2013 roku. Te incydenty podkreślają, że cyberbezpieczeństwo w branży motoryzacyjnej to kwestia o istotnym znaczeniu, wymagająca stałej uwagi i udoskonaleń.

Ustawa Kamilka

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności