Subaru Starlink sårbarhed udsatte biler for ekstern hacking

En stor sårbarhed i Subarus Starlink-forbundne køretøjsservice udsatte køretøjer og kundekonti i USA, Canada og Japan for potentielle cyberangreb. Sikkerhedsforsker Sam Curry har sammen med forskerkollegaen Shubham Shah afsløret kritiske fejl, der kunne have gjort det muligt for angribere at få administrativ adgang til Subarus forbundne køretøjssystem, hvilket muliggjorde fjernstyring af køretøjer og adgang til følsomme kundedata.

Starlink, infotainment- og tilsluttede servicesystem til Subaru-biler, er designet til at give funktioner som fjernbetjening af køretøjer, navigation og nødtjenester. Forskerne opdagede dog, at systemets adminpanel, udelukkende beregnet til medarbejdere, var utilstrækkeligt sikret. Hostet på et underdomæne af subarucs.com, kan admin-portalen blive udnyttet på grund af svage godkendelsesprotokoller i JavaScript-koden. Specifikt tillod det angribere at nulstille adgangskoder til gyldige medarbejderkonti uden at kræve et bekræftelsestoken, hvilket effektivt omgik sikkerhedsforanstaltninger.

Ved at identificere en legitim medarbejder-e-mail var Curry og Shah i stand til at nulstille adgangskoden til kontoen og omgå to-faktor-godkendelse ved at deaktivere overlejringen på klientsiden. Dette gav dem fuld adgang til admin-dashboardet og afslørede en masse følsomme data. De kunne se kundeoplysninger, herunder navne, postnumre, telefonnumre, e-mailadresser og faktureringsoplysninger, samt køretøjsspecifikke data såsom VIN-numre og historiske placeringsoplysninger.

Sårbarhederne stoppede ikke ved dataeksponering. Ifølge Curry gjorde adminpanelet også forskerne i stand til at ændre eller give adgang til køretøjer. Dette omfattede fjernstart, stop, låsning eller oplåsning af en bil uden ejerens viden. I et alarmerende fund demonstrerede de, at angribere kunne tilføje sig selv som autoriserede brugere af et køretøj uden at advare den legitime ejer, og effektivt overtage kontrollen over bilen.

Curry rapporterede fejlen til Subaru den 20. november 2024. Til Subarus kreditværdighed handlede virksomheden hurtigt og løste problemet inden for 24 timer efter modtagelsen af rapporten. Selvom denne hurtige reaktion mindskede den umiddelbare risiko, fremhæver opdagelsen vedvarende svagheder i bilindustriens cybersikkerhed.

Det er ikke første gang, Curry har afsløret sårbarheder i forbundne køretøjssystemer. I 2023 afslørede han og et team af forskere sikkerhedsfejl, der påvirker telematiksystemer, automotive API'er og den tilsluttede køretøjsinfrastruktur hos 16 bilproducenter. Dette inkluderede et højt profileret problem i Sirius XM-telematiksystemet, som efterlod flere mærker modtagelige for fjern hacking. Derudover har Curry tidligere afsløret en fejl i Kias bilejerplatform, der satte millioner af køretøjer i fare.

Subaru Starlink-sagen understreger vigtigheden af strenge sikkerhedstests i forbundne biløkosystemer. Med den voksende integration af IoT-systemer i køretøjer skal producenterne prioritere robuste cybersikkerhedsforanstaltninger for at beskytte mod databrud og fjernovertagelser af køretøjer. Hvis man ikke gør det, kan chauffører blive sårbare over for stadig mere sofistikerede cyberangreb.