Subaru hat eine klaffende Sicherheitslücke offen gelassen, die zwar geschlossen wurde, aber die zahllosen Datenschutzprobleme moderner Fahrzeuge offenbart. Die Sicherheitsforscher Sam Curry und Shubham Shah berichteten (über das Magazin Wired) von ihrer Entdeckung eines leicht zu hackenden Mitarbeiter-Webportals. Nachdem sie sich Zugang verschafft hatten, konnten sie ein Testfahrzeug fernsteuern und die Standortdaten eines ganzen Jahres einsehen. Sie warnen davor, dass Subaru bei weitem kein Einzelfall ist, was den laxen Umgang mit der Sicherheit von Fahrzeugdaten angeht.
Nachdem die Sicherheitsanalysten Subaru darauf aufmerksam gemacht hatten, schloss das Unternehmen die Sicherheitslücke schnell. Glücklicherweise, so die Forscher, waren bis dahin keine Hacker in das System eingedrungen, die sich nicht an ethische Grundsätze hielten. Sie weisen jedoch darauf hin, dass autorisierte Subaru-Mitarbeiter immer noch auf die Standortgeschichte der Eigentümer zugreifen können, wenn sie nur über eine der folgenden Informationen verfügen: Nachname des Besitzers, Postleitzahl, E-Mail-Adresse, Telefonnummer oder Nummernschild.
Das gehackte Verwaltungsportal war Teil der Starlink-Suite von Subaru mit Konnektivitätsfunktionen. (Curry und Shah gelangten in das System, indem sie die E-Mail-Adresse eines Subaru-Starlink-Mitarbeiters auf LinkedIn ausfindig machten und das Passwort des Mitarbeiters zurücksetzten, nachdem sie zwei erforderliche Sicherheitsfragen umgangen hatten – denn dies geschah im Webbrowser des Endbenutzers und nicht auf den Servern von Subaru. Sie umgingen auch die Zwei-Faktor-Authentifizierung, indem sie „das Einfachste taten, was uns einfiel: Sie entfernten das clientseitige Overlay von der Benutzeroberfläche“.
Obwohl die Tests der Forscher den Standort des Testfahrzeugs ein Jahr zurückverfolgten, können sie nicht ausschließen, dass autorisierte Subaru-Mitarbeiter noch weiter zurückgehen können. Das liegt daran, dass das Testfahrzeug (ein Subaru Impreza Curry, Baujahr 2023, den Curry für seine Mutter unter der Bedingung gekauft hatte, dass er ihn hacken dürfe) nur ungefähr so lange in Gebrauch war. Die Standortdaten wurden auch nicht auf ein größeres Gebiet verallgemeinert: Sie waren auf weniger als 17 Fuß genau und wurden bei jedem Motorstart aktualisiert.
„Nachdem ich mein eigenes Fahrzeug im Dashboard gesucht und gefunden hatte, bestätigte ich, dass das Starlink Admin Dashboard Zugriff auf so ziemlich jeden Subaru in den USA, Kanada und Japan haben sollte“, schrieb Curry. “Wir wollten sichergehen, dass wir nichts übersehen, also kontaktierten wir eine Freundin und fragten sie, ob wir ihr Auto hacken könnten, um zu zeigen, dass es keine Voraussetzungen oder Funktionen gab, die eine vollständige Fahrzeugübernahme tatsächlich verhindert hätten. Sie schickte uns ihr Nummernschild, wir riefen ihr Fahrzeug im Admin-Panel auf und schlossen uns schließlich ihrem Auto an.
Zusätzlich zur Standortverfolgung konnten die Forscher über das Admin-Panel jedes mit Starlink verbundene Subaru-Fahrzeug aus der Ferne starten, stoppen, verriegeln und entriegeln. Sie sagten, dass Currys Mutter weder eine Benachrichtigung erhielt, dass sie sich als autorisierte Benutzer hinzugefügt hatten, noch eine Benachrichtigung, wenn sie ihr Auto entriegelt hatten.
Sie konnten auch auf persönliche Informationen für jeden Kunden zugreifen, einschließlich Notfallkontakt, autorisierte Benutzer, Privatadresse, die letzten vier Ziffern der Kreditkarte und die Fahrzeug-PIN. Darüber hinaus hatten sie Zugriff auf die Support-Historie des Besitzers und der Vorbesitzer des Fahrzeugs, den Kilometerstand und die Verkaufshistorie.
In einer Stellungnahme gegenüber Engadget schreibt Dominick Infante, Kommunikationsdirektor von Subaru: „Subaru of America, Inc. wurde von unabhängigen Sicherheitsforschern über eine Schwachstelle in seinem Starlink-Dienst informiert, die möglicherweise Dritten den Zugriff auf Starlink-Konten ermöglicht. Subaru hat die Sicherheitslücke noch am selben Tag geschlossen, und es ist zu keinem Zeitpunkt zu einem unbefugten Zugriff auf Subaru-Fahrzeuge oder Kundendaten gekommen. Die unabhängigen Forscher konnten auf zwei Konten zugreifen, die einem Familienmitglied und einem Freund gehörten, die ihnen die Erlaubnis dazu gegeben hatten.
Subaru betonte auch, dass seine Autos nicht ferngesteuert werden können und dass das Unternehmen keine Standortdaten verkauft. Es hieß auch, dass nur bestimmte Mitarbeiter Zugang zu den Standortdaten der Fahrer hätten, je nachdem, was für ihre Arbeit wichtig sei.
Den Sicherheitsforschern zufolge sind die Verfolgungs- und Sicherheitslücken, die sich daraus ergeben, dass ein einziger Mitarbeiter Zugang zu „einer Unmenge persönlicher Informationen“ hat, kaum auf Subaru beschränkt. Wired weist darauf hin, dass Curry und Shah in ihrer früheren Arbeit ähnliche Schwachstellen bei Fahrzeugen von Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota und anderen Herstellern aufgedeckt haben.
Das Ehepaar ist der Ansicht, dass es Grund zu ernster Besorgnis über die Ortung und die schlechten Sicherheitsvorkehrungen in der Branche gibt. „Die Autoindustrie ist insofern einzigartig, als ein 18-jähriger Angestellter aus Texas die Rechnungsdaten eines Fahrzeugs in Kalifornien einsehen kann, ohne dass die Alarmglocken schrillen“, schreibt Curry. „Das ist Teil ihrer täglichen Arbeit. Die Mitarbeiter haben alle Zugang zu einer großen Menge persönlicher Informationen, und alles basiert auf Vertrauen. Es scheint wirklich schwierig zu sein, diese Systeme wirklich sicher zu machen, wenn ein so weitreichender Zugang standardmäßig in das System integriert ist.“
