Η ευπάθεια του Subaru Starlink εξέθεσε τα αυτοκίνητα σε απομακρυσμένη πειρατεία
Μια σημαντική ευπάθεια στην υπηρεσία συνδεδεμένων οχημάτων Starlink της Subaru εξέθεσε οχήματα και λογαριασμούς πελατών στις ΗΠΑ, τον Καναδά και την Ιαπωνία σε πιθανές επιθέσεις στον κυβερνοχώρο. Ο ερευνητής ασφαλείας Sam Curry, μαζί με τον συνάδελφό του Shubham Shah, αποκάλυψαν κρίσιμα ελαττώματα που θα μπορούσαν να έχουν επιτρέψει στους εισβολείς να αποκτήσουν διοικητική πρόσβαση στο συνδεδεμένο σύστημα οχημάτων της Subaru, επιτρέποντας τον απομακρυσμένο έλεγχο των οχημάτων και την πρόσβαση σε ευαίσθητα δεδομένα πελατών.
Το Starlink, το σύστημα ενημέρωσης και ψυχαγωγίας εντός οχήματος και συνδεδεμένων υπηρεσιών για αυτοκίνητα Subaru, έχει σχεδιαστεί για να παρέχει λειτουργίες όπως τηλεχειριστήριο οχημάτων, πλοήγηση και υπηρεσίες έκτακτης ανάγκης. Ωστόσο, οι ερευνητές ανακάλυψαν ότι ο πίνακας διαχείρισης του συστήματος, που προοριζόταν αποκλειστικά για υπαλλήλους, ήταν ανεπαρκώς ασφαλισμένος. Φιλοξενείται σε έναν υποτομέα του subarucs.com, η πύλη διαχειριστή θα μπορούσε να γίνει αντικείμενο εκμετάλλευσης λόγω αδύναμων πρωτοκόλλων ελέγχου ταυτότητας στον κώδικα JavaScript. Συγκεκριμένα, επέτρεψε στους εισβολείς να επαναφέρουν τους κωδικούς πρόσβασης για έγκυρους λογαριασμούς εργαζομένων χωρίς να απαιτούν διακριτικό επιβεβαίωσης, παρακάμπτοντας ουσιαστικά τις δικλείδες ασφαλείας.
Εντοπίζοντας ένα νόμιμο email υπαλλήλου, ο Curry και ο Shah μπόρεσαν να επαναφέρουν τον κωδικό πρόσβασης για τον λογαριασμό και να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων απενεργοποιώντας την επικάλυψη από την πλευρά του πελάτη. Αυτό τους παρείχε πλήρη πρόσβαση στον πίνακα ελέγχου διαχειριστή, αποκαλύπτοντας ένα πλήθος ευαίσθητων δεδομένων. Θα μπορούσαν να δουν πληροφορίες πελατών, όπως ονόματα, ταχυδρομικούς κώδικες, αριθμούς τηλεφώνου, διευθύνσεις email και στοιχεία χρέωσης, καθώς και δεδομένα για συγκεκριμένα οχήματα, όπως αριθμούς VIN και πληροφορίες ιστορικής τοποθεσίας.
Τα τρωτά σημεία δεν σταμάτησαν στην έκθεση δεδομένων. Σύμφωνα με τον Curry, ο πίνακας διαχείρισης επέτρεψε επίσης στους ερευνητές να τροποποιήσουν ή να παραχωρήσουν πρόσβαση σε οχήματα. Αυτό περιλάμβανε την απομακρυσμένη εκκίνηση, διακοπή, κλείδωμα ή ξεκλείδωμα ενός αυτοκινήτου χωρίς τη γνώση του ιδιοκτήτη. Σε ένα ανησυχητικό εύρημα, απέδειξαν ότι οι εισβολείς μπορούσαν να προσθέσουν τους εαυτούς τους ως εξουσιοδοτημένους χρήστες για ένα όχημα χωρίς να ειδοποιήσουν τον νόμιμο ιδιοκτήτη, αναλαμβάνοντας ουσιαστικά τον έλεγχο του αυτοκινήτου.
Ο Curry ανέφερε το ελάττωμα στην Subaru στις 20 Νοεμβρίου 2024. Προς τιμή της Subaru, η εταιρεία ενήργησε γρήγορα και έλυσε το πρόβλημα εντός 24 ωρών από τη λήψη της αναφοράς. Ενώ αυτή η ταχεία απόκριση μετρίασε τον άμεσο κίνδυνο, η ανακάλυψη υπογραμμίζει τις επίμονες αδυναμίες στην ασφάλεια του αυτοκινήτου στον κυβερνοχώρο.
Δεν είναι η πρώτη φορά που ο Curry αποκαλύπτει ευπάθειες σε συνδεδεμένα συστήματα οχημάτων. Το 2023, αυτός και μια ομάδα ερευνητών αποκάλυψαν ελαττώματα ασφαλείας που επηρεάζουν τα συστήματα τηλεματικής, τα API αυτοκινήτων και τη συνδεδεμένη υποδομή οχημάτων 16 κατασκευαστών αυτοκινήτων. Αυτό περιλάμβανε ένα σοβαρό ζήτημα στο σύστημα τηλεματικής Sirius XM, το οποίο άφησε πολλές μάρκες επιρρεπείς σε απομακρυσμένη πειρατεία. Επιπλέον, ο Curry αποκάλυψε προηγουμένως ένα σφάλμα στην πλατφόρμα κατόχων αυτοκινήτων της Kia που έθεσε σε κίνδυνο εκατομμύρια οχήματα.
Η υπόθεση Subaru Starlink υπογραμμίζει τη σημασία των αυστηρών δοκιμών ασφαλείας σε συνδεδεμένα οικοσυστήματα αυτοκινήτων. Με την αυξανόμενη ενσωμάτωση συστημάτων IoT στα οχήματα, οι κατασκευαστές πρέπει να δώσουν προτεραιότητα σε ισχυρά μέτρα κυβερνοασφάλειας για την προστασία από παραβιάσεις δεδομένων και εξ αποστάσεως εξαγορές οχημάτων. Σε αντίθετη περίπτωση θα μπορούσε να αφήσει τους οδηγούς ευάλωτους σε ολοένα και πιο εξελιγμένες κυβερνοεπιθέσεις.
