Scoperta per caso una falla su milioni di Subaru: il sistema Starlink dava accesso a dati privati, posizioni GPS e funzioni del veicolo
Un recente caso d’indagine ha portato alla luce preoccupanti vulnerabilità nel sistema di connettività digitale Starlink di Subaru, utilizzato da alcuni anni in molti dei suoi veicoli. La scoperta, effettuata dai ricercatori di sicurezza informatica Sam Curry e Shubham Shah, ha dimostrato come le funzionalità digitali dei veicoli connessi possano rappresentare un rischio reale per la privacy e la sicurezza dei consumatori e ancora una volta sottovalutato dai Costruttori di veicoli. Chiunque abbia le chiavi di accesso al portale OE, può sapere molte informazioni personali sui clienti che guidano un veicolo connesso.
RICERCATORI TROVANO UNA FALLA IN SUBARU STARLINK
L’indagine è iniziata in modo piuttosto casuale: Curry aveva acquistato una Subaru Impreza 2023 per sua madre, con l’intenzione di esaminarla e identificare potenziali debolezze. Collaborando con Shah, ha individuato vulnerabilità critiche in un portale web Subaru destinato al personale aziendale. Le falle avrebbero consentito a chiunque, quindi anche un hacker professionista, di ottenere il controllo di alcune funzioni del veicolo, come lo sblocco delle portiere, l’accensione del motore e l’attivazione del clacson, semplicemente dirottando l’account di un dipendente Subaru.
IMPLICAZIONI PER LA SICUREZZA E LA PRIVACY DELLE AUTO CONNESSE
Oltre a ciò, il problema ritenuto più inquietante raccontato sul blog risiedeva nella possibilità di tracciare la posizione precisa del veicolo e accedere alla cronologia degli spostamenti dell’ultimo anno, riuscendo ad estrapolare le abitudini dell’utente, le visite mediche, gli incontri privati e altre attività quotidiane.
Secondo i ricercatori, la vulnerabilità avrebbe potuto consentire a un hacker di monitorare milioni di veicoli dotati delle funzionalità Starlink negli Stati Uniti, Canada e Giappone. La possibilità di accedere alla cronologia delle posizioni avrebbe potuto esporre i clienti a possibili abusi, come stalking, ricatti o altre forme di sfruttamento.
LA RISPOSTA DI SUBARU SULL’ACCESSO A STARLINK
Informata della vulnerabilità alla fine di novembre, Subaru ha reagito rapidamente correggendo il problema in 24 ore. In una dichiarazione ufficiale, la casa automobilistica ha confermato che “Subaru ha scoperto una vulnerabilità nel suo servizio Starlink che potrebbe potenzialmente consentire a terzi di accedere agli account Starlink. La vulnerabilità è stata immediatamente chiusa e nessuna informazione del cliente è mai stata consultata senza autorizzazione”.
Subaru ha inoltre chiarito che l’accesso ai dati sulla posizione è limitato a dipendenti autorizzati, spesso per motivi di sicurezza, come il supporto ai primi soccorritori in caso di incidenti. Tuttavia, resta aperto il dibattito sull’opportunità di mantenere un sistema che permetta un accesso così pervasivo alle informazioni degli utenti, anche dopo la correzione della falla.
La scoperta delle vulnerabilità nel sistema Subaru non è un caso isolato. I ricercatori sostengono che difetti simili siano stati rilevati in oltre una dozzina di case automobilistiche, tra cui Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota e molte altre. “Non c’è dubbio che esistano altre vulnerabilità gravi nei sistemi web delle case automobilistiche, che devono ancora essere scoperte”, ha affermato Curry in un’intervista a Wired.