Preocupaciones de Seguridad y Privacidad en Subaru
Sabemos que los automóviles están mejor conectados que nunca, lo que es excelente cuando quieres recordar dónde estacionaste o comenzar a descongelar las ventanas del vehículo mientras aún estás en la cama. Sin embargo, esta tecnología moderna conlleva preocupaciones de seguridad y privacidad, como ha demostrado un nuevo hackeo de los automóviles Subaru y su software Starlink.
Detalles del Hackeo
Los investigadores de seguridad Sam Curry y Shubham Shah explicaron en un blog cómo lograron hackear de forma remota el servicio de vehículo conectado Starlink de Subaru. En este caso, apuntaron al software del automóvil de la madre de Curry, pero la misma plataforma opera en vehículos Subaru en EE. UU., Canadá y Japón.
Con acceso al apellido del conductor y su código postal, dirección de correo electrónico, número de teléfono o matrícula, Curry y Shah pudieron iniciar, detener, bloquear y desbloquear el Subaru, así como recuperar su ubicación actual. Además, pudieron ver el historial de ubicación recopilado durante un año completo, incluyendo espacios de estacionamiento. Este hackeo también dio acceso a información personal del conductor, incluyendo su dirección, información de facturación (aunque no el número completo de la tarjeta de crédito) y su contacto de emergencia. También se pudo acceder al historial de llamadas de soporte, lecturas del odómetro y a los anteriores propietarios del vehículo.
Fugas de Información Personal
Curry y Shah lograron probar el acceso en un Subaru perteneciente a uno de sus amigos, y funcionó de nuevo, todo esto sin ninguna alerta al conductor de que su vehículo estaba siendo accedido. Solo era necesario un inicio de sesión exitoso en el portal de Starlink y algo de información básica del conductor.
A pesar de que el inicio de sesión de Starlink estaba protegido por autenticación de dos factores y preguntas de seguridad, estas medidas de seguridad se aplicaron de manera personalizada, lo que permitió a los investigadores sortearlas simplemente modificando el código del sitio web para ignorarlas. En otras palabras, no fue necesario ingresar una contraseña. Esto representó un acceso considerable a funciones y datos a partir de un hackeo relativamente simple. La buena noticia es que Curry y Shah reportaron la vulnerabilidad a Subaru, y el fabricante aplicó un parche en menos de 24 horas; este hackeo ya no es posible. Sin embargo, todos estos datos siguen siendo accesibles para los empleados de Subaru, lo que plantea más preguntas.
Acceso a Datos por Empleados de Subaru
El hackeo original se llevó a cabo iniciando sesión en el terminal de Starlink como un empleado de Subaru, a través de un poco de trabajo de investigación en LinkedIn y una pequeña modificación del código del sitio web. Aunque esta vía de acceso ha sido cerrada, el personal genuino de Subaru aún puede acceder a toda la información encontrada por Curry y Shah, incluyendo el año de historial de ubicación.
Subaru declaró a Wired que sus empleados, “basándose en la relevancia de su trabajo”, pueden acceder a datos de localización; por ejemplo, al contactar a los primeros respondedores cuando se detecta una colisión (aunque eso no requiere un año de datos). Se firman acuerdos de privacidad, seguridad y NDA por parte de estos empleados.
Políticas de Privacidad de Subaru
Puedes leer las políticas de privacidad de Subaru aquí. Notarás que se recopila una gran cantidad de datos sobre ti y tu vehículo a través de Starlink, incluyendo dónde empieza y termina el trayecto, las velocidades del vehículo y la información de diagnóstico. Al usar un sitio web o una aplicación de Subaru, permites el acceso a un nuevo conjunto de datos, incluyendo los recopilados por los micrófonos y cámaras de tus dispositivos.
Aún más preocupante, estas políticas se aplican a cualquier pasajero en un Subaru. Mozilla, desarrollador de Firefox, tiene un desglose completo aquí. Aunque Subaru promete no vender tus datos a terceros y dice que requiere la información para mejorar el soporte y detectar actividad criminal, también puede dirigirte con anuncios, comunicaciones y promociones.
Existen pasos que puedes tomar para limitar esta recopilación de datos. Por supuesto, puedes cancelar tu suscripción a Starlink, pero perderías características como la asistencia en emergencias. También puedes desinstalar cualquier aplicación relacionada con Subaru de tu teléfono, cambiar tus preferencias de marketing a través del portal MySubaru y llenar este formulario para poner ciertos límites a la recopilación y compartición de datos en estados específicos, aunque no está claro qué datos cubre el formulario o cuánto tiempo se conservarán los datos existentes.
Subaru no está solo entre los fabricantes de automóviles en lo que respecta a vulnerabilidades de seguridad y políticas de privacidad sospechosas. Sin embargo, es un recordatorio más de que una conectividad adicional a menudo conlleva un costo adicional en términos de datos del usuario, y que cualquier decisión sobre qué automóvil comprar a continuación debería incluiren una revisión de las políticas de recopilación de datos del fabricante también.
Fuente y créditos: lifehacker.com
Cats: Tech
