- दो हैकर्स ने 2023 सुबारू इम्प्रेज़ा में गंभीर सुरक्षा खामियों को उजागर किया
- एक सुबारू वेब पोर्टल में कमजोरियों ने जोड़ी रिमोट एक्सेस की अनुमति दी
- इसी तरह के मुद्दे कई प्रमुख मोटर वाहन ब्रांडों को प्रभावित कर सकते हैं
हैकर्स की एक जोड़ी ने खुलासा किया है कि कैसे वे दूरस्थ रूप से एक सुबारू इम्प्रेज़ा पर नियंत्रण कर रहे थे, सुबारू के स्टारलिंक-कनेक्टेड इन्फोटेनमेंट सिस्टम में एक गंभीर सुरक्षा दोष के लिए धन्यवाद।
सैम करी और शुबम शाह (उत्तरार्द्ध दूर से काम कर रहा था) एक सुबारू वेब पोर्टल में कमजोरियों का लाभ उठाने में कामयाब रहा, जिसने इस जोड़ी को करी की मां के वाहन को नियंत्रित करने की अनुमति दी, जिसमें कार को अनलॉक करने की क्षमता भी शामिल थी, अपने सींग को सम्मानित करना और किसी के साथ भी इग्निशन शुरू करना एक रिपोर्ट के अनुसार, स्मार्टफोन या कंप्यूटर जो उन्होंने चुना था तार का।
करी ने एक वीडियो और एक लंबी ब्लॉग पोस्ट में अपनी रणनीति का खुलासा किया, जो इस बारे में विस्तार से गया कि कैसे वह उक्त वेब पोर्टल में प्रवेश करने में सक्षम था और बस एक पासवर्ड रीसेट करके एक सुबारू कर्मचारी के खाते को हाइजैक करता था, जो तब उसे लाखों सुबारू में टैप करने की अनुमति देगा ग्राहक के नाम, पंजीकरण संख्या या ज़िप कोड के साथ दूर से वाहन।
विपुल हैकर का दावा है कि अपनी मां की कार से कम से कम एक साल के स्थान के इतिहास को प्राप्त करना संभव था, जिसमें वह सटीक रूप से मैप किए गए विवरण भी शामिल थे, जहां वह सटीक पार्किंग स्पेस के नीचे थी, उसकी मां ने हर बार चर्च जाने के लिए कहा था ।
सुबारू का दावा है कि एक बार जब जोड़ी ने कंपनी को सूचित कर दिया था, तो उसने अपने कर्मचारी पोर्टल में भेद्यता को ठीक करने और पैच करने के लिए काम किया, जबकि यह कहते हुए कि कंपनी के लिए यह महत्वपूर्ण है कि वह अपने कर्मचारियों को आपात स्थिति में सहायता करने और चोरी के वाहनों को ट्रैक करने में मदद करने के लिए स्थान डेटा एकत्र करना महत्वपूर्ण है।
हालांकि, करी और व्यापक हैकिंग समुदाय का कहना है कि निर्माताओं को ग्राहक स्थान डेटा के वर्षों के मूल्य एकत्र करने की बहुत कम आवश्यकता है। इसके अलावा, उनका मानना है कि वेब कमजोरियों की तरह सिर्फ सुबारू तक सीमित नहीं है – इसी तरह से गंभीर हैक करने योग्य बग्स एकुरा, जेनेसिस, होंडा, हुंडई, इनफिनिटी, किआ, टोयोटा और कई अन्य के वेब टूल में मौजूद हैं।
विश्लेषण: कनेक्टेड कार एक डेटा गोपनीयता दुःस्वप्न है
इस हफ्ते की शुरुआत में, कैस्परस्की के सुरक्षा शोधकर्ता एक रिपोर्ट प्रकाशित की इससे पता चला कि टीम ने पहली पीढ़ी के मर्सिडीज-बेंज उपयोगकर्ता अनुभव (MBUX) इन्फोटेनमेंट सिस्टम में 13 कमजोरियों को कैसे पाया था।
ये खामियां हैकर्स को संभावित रूप से डेटा चोरी करने और एंटी-चोरी की सुरक्षा को अक्षम करने की अनुमति देती हैं, उन्हें वाहन तक भौतिक पहुंच प्राप्त करने में सक्षम होना चाहिए। मर्सिडीज-बेंज ने कहा कि यह 2022 से कास्परस्की के निष्कर्षों के बारे में पता था और कमजोरियों को पैच किया गया था।
इसके अलावा, जर्मन कंपनी ने बताया कि इसके इन्फोटेनमेंट सिस्टम की हेड यूनिट को हटा दिया जाना था और एक सफल हैक के लिए खोला गया था – यह सुबारू के वाहनों के साथ पाए जाने वाले मुद्दों की तुलना में थोड़ा कम चिंताजनक था।
उस ने कहा, कई उद्योग के अंदरूनी सूत्रों और साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि आधुनिक कनेक्टेड कार लंबे समय के लिए एक गंभीर सुरक्षा जोखिम पैदा करती है, जिसमें मोज़िला अब तक कहती है कि “” “” यह कहने के लिए “आधुनिक कारें एक गोपनीयता दुःस्वप्न हैं“2023 में जारी एक रिपोर्ट में।
मोज़िला ने पाया कि कई कारें अधिक से अधिक डेटा एकत्र करती हैं, जिससे उन्हें आवश्यकता होती है, जिससे उपयोगकर्ताओं के लिए कटाई से बाहर निकलना असंभव हो जाता है और फिर उपयोगकर्ता को जाने बिना तीसरे पक्ष को इस जानकारी को बेचने के लिए आगे बढ़ें।
गोपनीयता के बड़े पैमाने पर आक्रमण होने के अलावा, कैमरे, माइक्रोफोन से लैस वाहन, और इंटरनेट से निरंतर संबंध अब रिमोट एक्सेस हासिल करने के लिए संभावित हैकर्स के लिए तरीकों की अधिकता प्रदान करते हैं।
ऑटोमोटिव निर्माताओं को इसके बारे में स्पष्ट रूप से पता है और कई ने खतरे से निपटने में मदद करने के लिए स्टैंडअलोन सॉफ्टवेयर डिवीजन बनाए हैं, लेकिन यह स्पष्ट है कि अभी भी काम करना बाकी है।