Argomenti trattati
Introduzione alle vulnerabilità di Starlink
Un recente caso d’indagine ha messo in luce gravi vulnerabilità nel sistema di connettività digitale Starlink di Subaru, utilizzato in molti dei suoi veicoli. I ricercatori di sicurezza informatica Sam Curry e Shubham Shah hanno scoperto che le funzionalità digitali dei veicoli connessi possono rappresentare un rischio significativo per la privacy e la sicurezza dei consumatori. Questo problema, purtroppo, è spesso sottovalutato dai costruttori di automobili.
Come è iniziata l’indagine
L’indagine è iniziata in modo casuale quando Curry ha acquistato una Subaru Impreza 2023 per sua madre, con l’intento di esaminarla per identificare potenziali debolezze. Collaborando con Shah, ha scoperto vulnerabilità critiche in un portale web Subaru destinato al personale aziendale. Queste falle avrebbero potuto consentire a chiunque, compresi hacker professionisti, di ottenere il controllo su alcune funzioni del veicolo, come lo sblocco delle portiere e l’accensione del motore, semplicemente dirottando l’account di un dipendente Subaru.
Le conseguenze delle vulnerabilità
Uno dei problemi più inquietanti emersi dall’indagine riguarda la possibilità di tracciare la posizione precisa del veicolo e accedere alla cronologia degli spostamenti dell’ultimo anno. Questo accesso avrebbe potuto rivelare informazioni sensibili sulle abitudini dell’utente, comprese visite mediche e incontri privati. Secondo i ricercatori, questa vulnerabilità avrebbe potuto consentire a un hacker di monitorare milioni di veicoli dotati delle funzionalità Starlink negli Stati Uniti, Canada e Giappone, esponendo i clienti a potenziali abusi come stalking e ricatti.
La risposta di Subaru
Subaru è stata informata della vulnerabilità alla fine di novembre e ha reagito rapidamente, correggendo il problema in sole 24 ore. In una dichiarazione ufficiale, la casa automobilistica ha confermato la scoperta di una vulnerabilità nel suo servizio Starlink, che avrebbe potuto consentire a terzi di accedere agli account Starlink. Subaru ha assicurato che nessuna informazione del cliente è stata consultata senza autorizzazione e che l’accesso ai dati sulla posizione è limitato a dipendenti autorizzati, spesso per motivi di sicurezza.
Un problema diffuso nel settore automobilistico
Tuttavia, il dibattito sull’opportunità di mantenere un sistema che consenta un accesso così pervasivo alle informazioni degli utenti rimane aperto. La scoperta delle vulnerabilità nel sistema Subaru non è un caso isolato; i ricercatori sostengono che difetti simili siano stati rilevati in oltre una dozzina di case automobilistiche, tra cui Acura, Genesis, Honda, Hyundai, Infiniti, Kia e Toyota. Curry ha affermato che “non c’è dubbio che esistano altre vulnerabilità gravi nei sistemi web delle case automobilistiche, che devono ancora essere scoperte”.
