Vulnerabilità Subaru Starlink espone le auto all'hacking remoto
Una vulnerabilità importante nel servizio di veicoli connessi Starlink di Subaru ha esposto veicoli e account dei clienti negli Stati Uniti, in Canada e in Giappone a potenziali attacchi informatici. Il ricercatore di sicurezza Sam Curry, insieme al collega ricercatore Shubham Shah, ha scoperto falle critiche che avrebbero potuto consentire agli aggressori di ottenere l'accesso amministrativo al sistema di veicoli connessi di Subaru, consentendo il controllo remoto dei veicoli e l'accesso ai dati sensibili dei clienti.
Starlink, il sistema di infotainment e servizi connessi per auto Subaru, è progettato per fornire funzionalità come controllo remoto del veicolo, navigazione e servizi di emergenza. Tuttavia, i ricercatori hanno scoperto che il pannello di amministrazione del sistema, pensato esclusivamente per i dipendenti, era protetto in modo inadeguato. Ospitato su un sottodominio di subarucs.com, il portale di amministrazione potrebbe essere sfruttato a causa di protocolli di autenticazione deboli nel codice JavaScript. In particolare, ha consentito agli aggressori di reimpostare le password per account dipendenti validi senza richiedere un token di conferma, aggirando di fatto le misure di sicurezza.
Identificando un'email legittima di un dipendente, Curry e Shah sono stati in grado di reimpostare la password per l'account e di bypassare l'autenticazione a due fattori disabilitando l'overlay lato client. Ciò ha garantito loro l'accesso completo alla dashboard di amministrazione, rivelando una serie di dati sensibili. Hanno potuto visualizzare le informazioni dei clienti, tra cui nomi, codici postali, numeri di telefono, indirizzi e-mail e dettagli di fatturazione, nonché dati specifici del veicolo come numeri VIN e informazioni sulla posizione storica.
Le vulnerabilità non si sono fermate all'esposizione dei dati. Secondo Curry, il pannello di amministrazione ha anche consentito ai ricercatori di modificare o concedere l'accesso ai veicoli. Ciò includeva l'avvio, l'arresto, il blocco o lo sblocco da remoto di un'auto senza che il proprietario ne fosse a conoscenza. In una scoperta allarmante, hanno dimostrato che gli aggressori potevano aggiungersi come utenti autorizzati per un veicolo senza avvisare il legittimo proprietario, prendendo di fatto il controllo dell'auto.
Curry ha segnalato la falla a Subaru il 20 novembre 2024. A merito di Subaru, l'azienda ha agito rapidamente e ha risolto il problema entro 24 ore dalla ricezione della segnalazione. Sebbene questa risposta rapida abbia mitigato il rischio immediato, la scoperta evidenzia debolezze persistenti nella sicurezza informatica automobilistica.
Non è la prima volta che Curry espone vulnerabilità nei sistemi dei veicoli connessi. Nel 2023, lui e un team di ricercatori hanno rivelato falle di sicurezza che interessavano i sistemi telematici, le API automobilistiche e l'infrastruttura dei veicoli connessi di 16 produttori di automobili. Ciò includeva un problema di alto profilo nel sistema telematico Sirius XM, che ha lasciato diversi marchi esposti a hacking remoto. Inoltre, Curry aveva precedentemente scoperto un bug nella piattaforma per proprietari di auto di Kia che metteva a rischio milioni di veicoli.
Il caso Subaru Starlink sottolinea l'importanza di rigorosi test di sicurezza negli ecosistemi delle auto connesse. Con la crescente integrazione dei sistemi IoT nei veicoli, i produttori devono dare priorità a misure di sicurezza informatica robuste per proteggersi da violazioni dei dati e acquisizioni di veicoli da remoto. In caso contrario, i conducenti potrebbero essere vulnerabili a attacchi informatici sempre più sofisticati.
