A Subaru Starlink sebezhetősége távoli feltörésnek tette ki az autókat

A Subaru Starlink összekapcsolt járműszolgáltatásának egyik fő sebezhetősége potenciális kibertámadásoknak tette ki az Egyesült Államokban, Kanadában és Japánban a járműveket és az ügyfelek fiókjait. Sam Curry biztonsági kutató Shubham Shah kutatótársával együtt olyan kritikus hibákat tárt fel, amelyek lehetővé tehették volna a támadók számára, hogy adminisztratív hozzáférést kapjanak a Subaru csatlakoztatott járműrendszeréhez, lehetővé téve a járművek távoli vezérlését és a bizalmas ügyféladatokhoz való hozzáférést.

A Starlink, a Subaru autók járműbe épített információs és szórakoztató rendszere, úgy tervezték, hogy olyan funkciókat biztosítson, mint a jármű távvezérlése, navigációja és segélyszolgálat. A kutatók azonban felfedezték, hogy a rendszer kizárólag az alkalmazottak számára készült adminisztrációs panele nem volt megfelelően biztonságos. A subarucs.com aldomainjén található adminisztrátori portál kihasználható a JavaScript-kód gyenge hitelesítési protokolljai miatt. Pontosabban, lehetővé tette a támadók számára, hogy visszaállítsák az érvényes alkalmazotti fiókokhoz tartozó jelszavakat anélkül, hogy megerősítő tokenre lenne szükségük, gyakorlatilag megkerülve a biztonsági óvintézkedéseket.

A jogos alkalmazotti e-mail azonosításával Curry és Shah vissza tudta állítani a fiók jelszavát, és megkerülte a kéttényezős hitelesítést az ügyféloldali fedvény letiltásával. Ezzel teljes hozzáférést kaptak az adminisztrációs irányítópulthoz, és rengeteg érzékeny adatot tártak fel. Megtekinthetik az ügyfelek adatait, beleértve a neveket, irányítószámokat, telefonszámokat, e-mail címeket és számlázási adatokat, valamint a járműspecifikus adatokat, például a VIN-számokat és a korábbi helyadatokat.

A sérülékenységek nem értek véget az adatok közzétételénél. Curry szerint az adminisztrációs panel azt is lehetővé tette a kutatóknak, hogy módosítsák vagy hozzáférést biztosítsanak a járművekhez. Ez magában foglalta az autó távindítását, megállítását, lezárását vagy kinyitását a tulajdonos tudta nélkül. A riasztó felfedezés során bebizonyították, hogy a támadók felvehetik magukat egy jármű jogosult felhasználójaként anélkül, hogy figyelmeztetnék a jogos tulajdonost, és ezzel gyakorlatilag átveszik az autó feletti irányítást.

Curry 2024. november 20-án jelentette a hibát a Subarunak. A Subaru érdemére legyen mondva, a vállalat gyorsan cselekedett, és a jelentés kézhezvételétől számított 24 órán belül megoldotta a problémát. Noha ez a gyors reagálás csökkentette az azonnali kockázatot, a felfedezés rávilágít az autóipari kiberbiztonság tartós gyengeségeire.

Nem ez az első alkalom, hogy Curry felfedte a kapcsolódó járműrendszerek sebezhetőségét. 2023-ban egy kutatócsoporttal 16 autógyártó telematikai rendszereit, az autóipari API-kat és a kapcsolódó járműinfrastruktúrát érintő biztonsági hibákat tárt fel. Ez magában foglalta a Sirius XM telematikai rendszer nagy horderejű problémáját, amely több márkát is kiszolgáltatottá tett a távoli feltörésre. Emellett Curry korábban feltárt egy hibát a Kia autótulajdonos-platformjában, amely járművek millióit veszélyezteti.

A Subaru Starlink tok aláhúzza a szigorú biztonsági tesztelés fontosságát az összekapcsolt autók ökoszisztémáiban. Az IoT-rendszerek járművekbe történő növekvő integrálásával a gyártóknak elsőbbséget kell adniuk a robusztus kiberbiztonsági intézkedéseknek, hogy megvédjék magukat az adatszivárgások és a távoli járműátvételek ellen. Ennek elmulasztása esetén a járművezetők egyre kifinomultabb kibertámadásoknak lesznek kitéve.