Há cerca de um ano, o pesquisador de segurança Sam Curry comprou um Subaru para sua mãe, sob a condição de que, em algum momento no futuro próximo, ela permitisse que ele "hackeasse" o carro.
Curry esperou até o último novembro, quando estava em casa para o feriado de Ação de Graças, para começar a examinar os recursos conectados à internet do Subaru Impreza 2023 e procurar maneiras de explorá-los.
Rapidamente, ele e um pesquisador trabalhando com ele online, Shubham Shah, descobriram vulnerabilidades em um portal web da Subaru que permitiram a eles sequestrar a capacidade de destravar o carro, acionar a buzina e iniciar a ignição, reatribuindo o controle dessas funções a qualquer telefone ou computador que escolhessem.
O mais perturbador para Curry, porém, foi descobrir que eles também podiam rastrear a localização do Subaru — não apenas onde estava naquele momento, mas também todos os lugares onde esteve durante o ano inteiro em que sua mãe possuía o carro.
O mapa dos paradeiros do carro era tão preciso e detalhado, diz Curry, que ele conseguia ver as visitas dela ao médico, as casas dos amigos que ela visitava, até mesmo em qual vaga exata ela estacionava toda vez que ia à igreja.
Um ano de dados de localização do Subaru Impreza 2023 da mãe de Sam Curry que ele e Shah conseguiram acessar no portal administrativo de funcionários da Subaru, graças às suas vulnerabilidades de segurança.
"Você pode recuperar pelo menos um ano de histórico de localização do carro, onde ele se localiza precisamente, às vezes várias vezes ao dia", diz Curry.
Seja alguém traindo a esposa, fazendo um aborto ou fazendo parte de algum grupo político, existem milhões de cenários onde isso poderia ser usado contra alguém.
Hoje, Curry e Shah revelaram em um post de blog o método que utilizaram para hackear e rastrear milhões de Subarus, o qual eles acreditam que permitiria a hackers visar qualquer veículo da empresa equipado com os recursos digitais conhecidos como Starlink nos EUA, Canadá ou Japão.
As vulnerabilidades que encontraram em um site da Subaru destinado ao pessoal da empresa permitiram que eles sequestrassem a conta de um funcionário para reatribuir o controle dos recursos Starlink dos carros e também acessar todos os dados de localização do veículo disponíveis para os funcionários, incluindo a localização do carro cada vez que seu motor era iniciado, conforme mostrado no vídeo abaixo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...