शाह और करी के शोध ने उन्हें सुबारू की कमजोरियों की खोज के लिए प्रेरित किया, जब उन्होंने पाया कि करी की मां की स्टारलिंक ऐप डोमेन सबर्यूक डॉट कॉम से जुड़ा हुआ था, जो उन्हें एहसास हुआ कि कर्मचारियों के लिए एक प्रशासनिक डोमेन था। सुरक्षा खामियों के लिए उस साइट को खारिज करते हुए, उन्होंने पाया कि वे कर्मचारियों के पासवर्ड को केवल अपने ईमेल पते का अनुमान लगाकर रीसेट कर सकते हैं, जिससे उन्हें किसी भी कर्मचारी के खाते को लेने की क्षमता मिली, जिसका ईमेल वे पा सकते थे। पासवर्ड रीसेट कार्यक्षमता ने दो सुरक्षा प्रश्नों के उत्तर के लिए पूछा, लेकिन उन्होंने पाया कि उन उत्तरों को कोड के साथ चेक किया गया था जो कि उपयोगकर्ता के ब्राउज़र में स्थानीय रूप से चलते थे, सुबारू के सर्वर पर नहीं, जिससे सुरक्षा को आसानी से बाईपास किया जा सके। “वास्तव में कई प्रणालीगत विफलताएं थीं जो इसने के लिए प्रेरित कीं,” शाह कहते हैं।
दो शोधकर्ताओं का कहना है कि उन्हें लिंक्डइन पर एक सुबारू स्टारलिंक डेवलपर के लिए ईमेल पता मिला, उसने कर्मचारी का खाता संभाला, और तुरंत पाया कि वे अंतिम नाम, ज़िप कोड, ईमेल पते, फोन द्वारा किसी भी सुबारू मालिक को देखने के लिए उस कर्मचारी की पहुंच का उपयोग कर सकते हैं उनके स्टारलिंक कॉन्फ़िगरेशन तक पहुंचने के लिए नंबर, या लाइसेंस प्लेट। कुछ सेकंड में, वे उस उपयोगकर्ता के वाहन की स्टारलिंक सुविधाओं के नियंत्रण को फिर से सौंप सकते हैं, जिसमें कार को दूर से अनलॉक करने की क्षमता शामिल है, इसके सींग को सम्मानित करें, इसका इग्निशन शुरू करें, या इसका पता लगाएं, जैसा कि नीचे दिए गए वीडियो में दिखाया गया है।
उन कमजोरियों, अकेले ड्राइवरों के लिए, गंभीर चोरी और सुरक्षा जोखिम पेश करते हैं। करी और शाह बताते हैं कि एक हैकर एक पीड़ित को घूरने या चोरी करने के लिए लक्षित कर सकता था, किसी के वाहन के स्थान को देखा, फिर किसी भी समय अपनी कार को अनलॉक कर दिया – हालांकि एक चोर को किसी भी तरह कार के इमोबिलाइज़र को अक्षम करने के लिए एक अलग तकनीक का उपयोग करना होगा, घटक जो इसे बिना कुंजी के दूर चलाने से रोकता है।
उन कार हैकिंग और ट्रैकिंग तकनीकें अकेले अद्वितीय हैं। पिछली गर्मियों में, करी और एक अन्य शोधकर्ता, नीको रिवेरा, तार के लिए प्रदर्शन किया कि वे किआ द्वारा बेचे गए लाखों वाहनों में से किसी के साथ एक समान चाल खींच सकते हैं। पहले दो वर्षों में, शोधकर्ताओं का एक बड़ा समूह, जिसमें से करी और शाह एक हिस्सा हैं, कारों को प्रभावित करने वाली वेब-आधारित सुरक्षा कमजोरियों की खोज की एकुरा, बीएमडब्ल्यू, फेरारी, जेनेसिस, होंडा, हुंडई, इनफिनिटी, मर्सिडीज-बेंज, निसान, रोल्स रॉयस और टोयोटा द्वारा बेचा गया।