শাহ এবং কারির গবেষণা যা তাদেরকে সুবারুর দুর্বলতা আবিষ্কারের দিকে পরিচালিত করেছিল যখন তারা দেখতে পায় যে কারির মায়ের স্টারলিংক অ্যাপ SubaruCS.com ডোমেনের সাথে সংযুক্ত, যেটি তারা বুঝতে পেরেছিল যে এটি কর্মীদের জন্য একটি প্রশাসনিক ডোমেন। নিরাপত্তার ত্রুটির জন্য সেই সাইটটিকে স্ক্রাব করে, তারা দেখতে পেল যে তারা কেবলমাত্র তাদের ইমেল ঠিকানা অনুমান করে কর্মীদের পাসওয়ার্ড রিসেট করতে পারে, যা তাদের যে কোনও কর্মচারীর অ্যাকাউন্ট গ্রহণ করার ক্ষমতা দেয় যার ইমেল তারা খুঁজে পেতে পারে। পাসওয়ার্ড রিসেট কার্যকারিতা দুটি নিরাপত্তা প্রশ্নের উত্তর চেয়েছিল, কিন্তু তারা দেখেছে যে সেই উত্তরগুলি একটি কোড দিয়ে চেক করা হয়েছে যা স্থানীয়ভাবে ব্যবহারকারীর ব্রাউজারে চলে, সুবারুর সার্ভারে নয়, যাতে সুরক্ষা সহজে বাইপাস করা যায়। “এখানে সত্যিই একাধিক পদ্ধতিগত ব্যর্থতা ছিল যা এটির দিকে পরিচালিত করেছিল,” শাহ বলেছেন।
দুই গবেষক বলেছেন যে তারা LinkedIn-এ একজন সুবারু স্টারলিঙ্ক ডেভেলপারের ইমেল ঠিকানা খুঁজে পেয়েছেন, কর্মচারীর অ্যাকাউন্ট দখল করেছেন এবং অবিলম্বে দেখতে পেয়েছেন যে তারা সেই কর্মীদের অ্যাক্সেস ব্যবহার করে যে কোনো সুবারু মালিককে শেষ নাম, জিপ কোড, ইমেল ঠিকানা, ফোন দ্বারা সন্ধান করতে পারে। নম্বর, বা লাইসেন্স প্লেট তাদের Starlink কনফিগারেশন অ্যাক্সেস করতে. সেকেন্ডের মধ্যে, তারা সেই ব্যবহারকারীর গাড়ির Starlink বৈশিষ্ট্যগুলির নিয়ন্ত্রণ পুনরায় বরাদ্দ করতে পারে, যার মধ্যে গাড়িটিকে দূরবর্তীভাবে আনলক করার ক্ষমতা, এর হর্ন বাজাতে, এটির ইগনিশন শুরু করা বা এটি সনাক্ত করার ক্ষমতা সহ, নীচের ভিডিওতে দেখানো হয়েছে।
শুধুমাত্র এই দুর্বলতাগুলি, ড্রাইভারদের জন্য, গুরুতর চুরি এবং নিরাপত্তা ঝুঁকি উপস্থাপন করে। কারি এবং শাহ উল্লেখ করেছেন যে একজন হ্যাকার স্টকিং বা চুরির জন্য একজন শিকারকে লক্ষ্যবস্তু করতে পারে, কারও গাড়ির অবস্থান সন্ধান করতে পারে, তারপর যে কোনও সময় তাদের গাড়িটি আনলক করতে পারে- যদিও একজন চোরকে গাড়ির ইমোবিলাইজার নিষ্ক্রিয় করার জন্য একটি পৃথক কৌশলও ব্যবহার করতে হবে, উপাদান যা একটি চাবি ছাড়া দূরে চালিত হতে বাধা দেয়.
একা এই গাড়ি হ্যাকিং এবং ট্র্যাকিং কৌশল অনন্য থেকে অনেক দূরে. গত গ্রীষ্মে, কারি এবং অন্য গবেষক, নেইকো রিভেরা, ওয়্যারডের কাছে প্রদর্শন করা হয়েছে যে তারা কিয়া দ্বারা বিক্রি করা লক্ষ লক্ষ যানবাহনের যে কোনও একটির সাথে অনুরূপ কৌশলটি বন্ধ করতে পারে। আগের দুই বছরে, গবেষকদের একটি বৃহত্তর দল, যার মধ্যে কারি এবং শাহ একটি অংশ, ওয়েব-ভিত্তিক নিরাপত্তা দুর্বলতাগুলি আবিষ্কার করেছে যা গাড়িগুলিকে প্রভাবিত করেছে৷ Acura, BMW, Ferrari, Genesis, Honda, Hyundai, Infiniti, Mercedes-Benz, Nissan, Rolls Royce, এবং Toyota দ্বারা বিক্রি করা হয়েছে।
