ล่าสุดมีข่าวที่น่าตกใจว่ายานพาหนะที่เชื่อมต่อกับ Starlink ของมีข้อบกพร่องอยู่ในนั้น ข้อบกพร่องดังกล่าวทำให้รถยนต์หลายล้านคันเสี่ยงต่อการถูกแฮ็กและการติดตามตำแหน่ง
นักวิจัยด้านความปลอดภัย Sam Curry และ Shubham Shah ค้นพบข้อบกพร่องร้ายแรงบางประการที่ทำให้พวกเขาควบคุมยานพาหนะจากระยะไกลและเข้าถึงประวัติตำแหน่งที่ละเอียดอ่อนได้ นี่อาจทำให้คุณมีเวลาคิดว่าข้อมูลของคุณปลอดภัยและเป็นส่วนตัวกับรถของคุณหรือไม่
นักวิจัยค้นพบช่องโหว่ของ Subaru ได้อย่างไร
หนึ่งการสืบสวนเริ่มต้นเมื่อ Curry เดินหน้าและสอบถามเกี่ยวกับคุณสมบัติที่เชื่อมต่อใน Subaru Impreza ปี 2023 ของแม่ของเขา เขาเริ่มต้นด้วยการทดลองง่ายๆ ในสิ่งที่น่าประหลาดใจ เช่น การค้นพบรถยนต์ที่ปลดล็อคแล้วโดยใช้แพลตฟอร์ม Starlink ของ Subaru และแม้กระทั่งติดตามว่ารถไปอยู่ที่ไหนในปีที่ผ่านมา เช่น โดยการสตาร์ทกุญแจ บีบแตร ฯลฯ
จากการระบุจุดอ่อนในพอร์ทัลพนักงาน Starlink ของ Subaru นักวิจัยค้นพบว่าพวกเขาสามารถรีเซ็ตรหัสผ่านได้ด้วยที่อยู่อีเมลของพนักงานเท่านั้น ระบบตรวจสอบคำถามเพื่อความปลอดภัยในเบราว์เซอร์ของผู้ใช้ แทนที่จะเป็นเซิร์ฟเวอร์ของ Subaru
ด้วยบัญชีพนักงาน พวกเขาสามารถค้นหายานพาหนะที่เปิดใช้งาน Starlink แล้วกำหนดการควบคุมใหม่ให้กับอุปกรณ์หรือคอมพิวเตอร์เครื่องอื่น
ขอบเขตของการละเมิดข้อมูล Subaru Starlink
ตามมีสาย,ผู้เชี่ยวชาญได้แสดงให้เห็นอย่างชัดเจนถึงสิ่งที่ค้นพบด้วยความแม่นยำอันน่าตกใจ ผ่านพอร์ทัลที่ถูกบุกรุก พวกเขา:
ข้อมูลตำแหน่งอย่างละเอียดที่เข้าถึงได้เป็นเวลาหนึ่งปี ซึ่งแสดงการเดินทาง การไปพบแพทย์ และจุดจอดรถ
คุณสมบัติยานพาหนะที่ควบคุม เช่น การล็อคประตู การจุดระเบิด และแตรจากระยะไกล
ระบุเจ้าของโดยใช้ข้อมูลส่วนบุคคล เช่น ชื่อ อีเมล และป้ายทะเบียน
Curry และ Shah กล่าวว่าข้อบกพร่องเหล่านี้ไม่เพียงเปิดช่องทางในการโจรกรรมและการสะกดรอยตามเท่านั้น แต่ยังแสดงถึงความกังวลที่ใหญ่กว่าเกี่ยวกับการระบุตำแหน่งทางภูมิศาสตร์ของรถยนต์มากเกินไปโดยบริษัทรถยนต์
Subaru ได้แก้ไขช่องโหว่ที่อยู่ในแพลตฟอร์ม Starlink หรือไม่
Subaru ตอบสนองอย่างรวดเร็วหลังจากที่นักวิจัยเปิดเผยการค้นพบของพวกเขาในเดือนพฤศจิกายน 2024 บริษัทได้แก้ไขช่องโหว่ในแพลตฟอร์ม Starlink และโฆษกยืนยันว่าไม่มีการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาตเกิดขึ้น อย่างไรก็ตาม Subaru ยืนยันว่าพนักงานสามารถเข้าถึงข้อมูลตำแหน่งของยานพาหนะเพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย เช่น การช่วยเหลือผู้เผชิญเหตุคนแรก
“สิ่งนี้คือ แม้ว่าจะได้รับการแก้ไขแล้ว แต่ฟังก์ชันนี้ยังคงมีอยู่สำหรับพนักงาน Subaru มันเป็นเพียงฟังก์ชันปกติที่พนักงานสามารถดึงประวัติตำแหน่งของคุณเป็นเวลาหนึ่งปีได้” Curry กล่าว
Subaru ไม่ได้อยู่คนเดียวในการจัดการกับฝันร้ายด้านความเป็นส่วนตัวนี้
ในกรณีนี้ไม่ใช่ Subaru เพียงคนเดียว พบข้อบกพร่องในช่องโหว่ที่คล้ายกันในรถยนต์จาก Acura, Honda, Hyundai, BMW และอื่น ๆ
นักวิจัยได้พิสูจน์ครั้งแล้วครั้งเล่าว่าข้อบกพร่องบนเว็บสามารถทำให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร และผู้ผลิตรถยนต์ส่วนใหญ่ยังรวบรวมข้อมูลผู้ขับขี่จำนวนมหาศาลโดยไม่มีการป้องกันที่เพียงพอ
รายงานของ Mozilla ปี 2023 ระบุว่ารถยนต์สมัยใหม่เป็น"ฝันร้ายความเป็นส่วนตัว"ผู้ผลิต 92% ให้สิทธิ์คนขับในการควบคุมข้อมูลที่รวบรวมได้เพียงเล็กน้อย และ 84% สงวนสิทธิ์ในการแบ่งปันหรือขายข้อมูล
การขาดความโปร่งใสยังคงเป็นสาเหตุของความกังวล: Subaru อ้างว่าไม่ได้ขายข้อมูลตำแหน่ง แต่ขาดความโปร่งใสและการควบคุมสิ่งที่รวบรวม
ผู้อำนวยการบริหารของสมาพันธ์ผู้บริโภคแห่งแคลิฟอร์เนีย โรเบิร์ต เฮอร์เรลล์ กล่าวว่าผู้คนกำลังถูกติดตามในแบบที่พวกเขาไม่รู้ตัว และถึงเวลาแล้วที่กฎระเบียบที่เข้มงวดยิ่งขึ้นเพื่อปกป้องผู้บริโภค
