Gravi falle nella sicurezza di vetture Subaru: hacker avviano auto da remoto

Due hacker, ovvero Sam Curry e Shubham Shah, hanno dimostrato come sia possibile ottenere il controllo da remoto di una Subaru Impreza. Ciò è stato possibile grazie a una grave falla di sicurezza individuato nel sistema di infotainment della vettura.

I due hanno sfruttato una vulnerabilità presente sul portale ufficiale del marchio automobilistico, ottenendo pieno accesso al veicolo in questione (nello specifico, di proprietà della madre di Curry). Lo stesso hacker, è riuscito a sbloccare l’auto, suonando il clacson e avviando la vettura.

A documentare quanto avvenuto è stato lo stesso Curry che, attraverso un lungo post sul suo blog con tanto di video, ha spiegato come è stato possibile ottenere questo risultato. Allo stesso è stato sufficiente prendere controllo di un account di un dipendente Subaru, chiedendo la reimpostazione della password di accesso.

Con tale intervento, Curry ha potuto accedere ai dati di milioni di veicoli Subaru, inclusi dati sensibili dei possessori, come nome, indirizzo oltre al numero di targa dell’automobile.

Due hacker mettono a nudo tutta la vulnerabilità del sistema infotainment  di Subaru

Nel suo blog, l’hacker ha spiegato come è stato possibile ricostruire almeno un anno di cronologia riguardante la posizione della vettura di sua madre, con tanto di mappa accurata.

L’intervento di Curry e Shah è stata una dimostrazione e non aveva scopo di causare danni ai possessori di Subaru. Questa azione è invece servita all’azienda per correggere la vulnerabilità attraverso un’apposita patch. Il noto marchio ha poi sostenuto come il sistema di tracciamento è  utile per recuperare i veicoli rubati.

I due hacker non sono però della stessa opinione. Così come altri “colleghi”, di fatto non vi sono motivi pratici per cui le compagnie raccolgano dati così sensibili sui clienti, soprattutto visti gli enormi rischi a livello di sicurezza.

D’altro canto, i sistemi infotainment sono ormai una vera e propria criticità per quanto concerne la cybersecurity. Basti pensare a quanto avvenuto con la piattaforma Mercedes-Benz User Experience (MBUX) e le 13 vulnerabilità individuate sulla stessa.