La vulnerabilidad de Starlink en Subaru expuso los autos a ataques de hackers remotos
Una vulnerabilidad importante en el servicio de vehículos conectados Starlink de Subaru expuso a vehículos y cuentas de clientes en Estados Unidos, Canadá y Japón a posibles ciberataques. El investigador de seguridad Sam Curry, junto con su colega Shubham Shah, descubrieron fallas críticas que podrían haber permitido a los atacantes obtener acceso administrativo al sistema de vehículos conectados de Subaru, lo que les permitió controlar de forma remota los vehículos y acceder a datos confidenciales de los clientes.
Starlink, el sistema de información y entretenimiento para vehículos y servicios conectados de Subaru, está diseñado para proporcionar funciones como control remoto del vehículo, navegación y servicios de emergencia. Sin embargo, los investigadores descubrieron que el panel de administración del sistema, destinado exclusivamente a los empleados, no estaba adecuadamente protegido. El portal de administración, alojado en un subdominio de subarucs.com, podía ser explotado debido a protocolos de autenticación débiles en el código JavaScript. En concreto, permitía a los atacantes restablecer las contraseñas de cuentas de empleados válidas sin necesidad de un token de confirmación, eludiendo de forma eficaz las medidas de seguridad.
Al identificar el correo electrónico legítimo de un empleado, Curry y Shah pudieron restablecer la contraseña de la cuenta y eludir la autenticación de dos factores desactivando la superposición del lado del cliente. Esto les otorgó acceso total al panel de administración, lo que les permitió revelar una gran cantidad de datos confidenciales. Podían ver información de los clientes, incluidos nombres, códigos postales, números de teléfono, direcciones de correo electrónico y detalles de facturación, así como datos específicos del vehículo, como números de VIN e información de ubicación histórica.
Las vulnerabilidades no se limitaban a la exposición de datos. Según Curry, el panel de administración también permitía a los investigadores modificar o conceder acceso a los vehículos. Esto incluía arrancar, detener, bloquear o desbloquear un coche de forma remota sin el conocimiento del propietario. En un hallazgo alarmante, demostraron que los atacantes podían agregarse como usuarios autorizados de un vehículo sin alertar al propietario legítimo, tomando así el control del coche.
Curry informó de la falla a Subaru el 20 de noviembre de 2024. Para crédito de Subaru, la empresa actuó rápidamente y resolvió el problema dentro de las 24 horas posteriores a la recepción del informe. Si bien esta respuesta rápida mitigó el riesgo inmediato, el descubrimiento destaca las debilidades persistentes en la ciberseguridad automotriz.
Esta no es la primera vez que Curry expone vulnerabilidades en los sistemas de vehículos conectados. En 2023, él y un equipo de investigadores revelaron fallas de seguridad que afectaban a los sistemas telemáticos, las API automotrices y la infraestructura de vehículos conectados de 16 fabricantes de automóviles. Esto incluyó un problema de alto perfil en el sistema telemático Sirius XM, que dejó a varias marcas susceptibles a ataques de piratería remota. Además, Curry descubrió anteriormente un error en la plataforma para propietarios de automóviles de Kia que puso en riesgo millones de vehículos.
El caso de Subaru Starlink subraya la importancia de realizar pruebas de seguridad rigurosas en los ecosistemas de los vehículos conectados. Con la creciente integración de los sistemas IoT en los vehículos, los fabricantes deben priorizar medidas de ciberseguridad sólidas para protegerse contra las violaciones de datos y las apropiaciones remotas de los vehículos. De no hacerlo, los conductores podrían quedar expuestos a ciberataques cada vez más sofisticados.
