„Subaru Starlink“ pažeidžiamumas automobilius apėmė nuotoliniu įsilaužimu

Dėl didelio „Subaru“ sujungtų transporto priemonių paslaugos „Starlink“ pažeidžiamumo JAV, Kanadoje ir Japonijoje automobiliai ir klientų sąskaitos tapo galimos kibernetinės atakos. Saugumo tyrinėtojas Samas Curry kartu su kolega tyrėju Shubham Shah atskleidė esminių trūkumų, dėl kurių užpuolikai galėjo gauti administracinę prieigą prie „Subaru“ prijungtos transporto priemonių sistemos, leidžiančios nuotoliniu būdu valdyti transporto priemones ir pasiekti jautrius klientų duomenis.

Starlink, transporto priemonėje esanti informacinė ir pramoginė sistema, skirta Subaru automobiliams, skirta teikti tokias funkcijas kaip nuotolinis transporto priemonės valdymas, navigacija ir avarinės tarnybos. Tačiau mokslininkai išsiaiškino, kad sistemos administratoriaus skydelis, skirtas tik darbuotojams, buvo nepakankamai apsaugotas. Administratoriaus portalas, esantis subarucs.com padomenyje, gali būti išnaudotas dėl silpnų autentifikavimo protokolų JavaScript kode. Tiksliau, tai leido užpuolikams iš naujo nustatyti galiojančių darbuotojų paskyrų slaptažodžius nereikalaujant patvirtinimo prieigos rakto, veiksmingai apeinant saugumo priemones.

Nustačius teisėtą darbuotojo el. pašto adresą, Curry ir Shah sugebėjo iš naujo nustatyti paskyros slaptažodį ir apeiti dviejų veiksnių autentifikavimą išjungdami kliento pusės perdangą. Tai suteikė jiems visišką prieigą prie administratoriaus prietaisų skydelio, atskleidžiant daugybę neskelbtinų duomenų. Jie galėtų peržiūrėti klientų informaciją, įskaitant vardus, pašto kodus, telefono numerius, el. pašto adresus ir išsamią atsiskaitymo informaciją, taip pat konkrečius transporto priemonės duomenis, pvz., VIN numerius ir istorinės vietos informaciją.

Pažeidžiamumas nesibaigė atskleidžiant duomenis. Pasak Curry, administratoriaus skydelis taip pat leido tyrėjams modifikuoti arba suteikti prieigą prie transporto priemonių. Tai apėmė nuotolinį automobilio užvedimą, stabdymą, užrakinimą ar atrakinimą be savininko žinios. Nerimą keliantys atradimai parodė, kad užpuolikai gali įtraukti save kaip įgaliotus transporto priemonės naudotojus, neįspėdami teisėto savininko, taip veiksmingai perimdami automobilio valdymą.

Curry pranešė apie trūkumą „Subaru“ 2024 m. lapkričio 20 d. „Subaru“ garbei, bendrovė veikė greitai ir išsprendė problemą per 24 valandas nuo pranešimo gavimo. Nors šis greitas atsakas sumažino tiesioginę riziką, atradimas išryškina nuolatinius automobilių kibernetinio saugumo trūkumus.

Tai ne pirmas kartas, kai Curry atskleidė prijungtų transporto priemonių sistemų pažeidžiamumą. 2023 m. jis ir tyrėjų komanda atskleidė saugumo trūkumus, turinčius įtakos telematikos sistemoms, automobilių API ir prijungtai 16 automobilių gamintojų transporto priemonių infrastruktūrai. Tai apėmė didelio masto Sirius XM telematikos sistemos problemą, dėl kurios keli prekių ženklai buvo jautrūs nuotoliniam įsilaužimui. Be to, Curry anksčiau atskleidė „Kia“ automobilių savininkų platformos klaidą, dėl kurios kilo pavojus milijonams transporto priemonių.

„Subaru Starlink“ dėklas pabrėžia griežtų saugumo bandymų prijungtose automobilių ekosistemose svarbą. Vis labiau integruojant daiktų interneto sistemas į transporto priemones, gamintojai turi teikti pirmenybę tvirtoms kibernetinio saugumo priemonėms, kad apsisaugotų nuo duomenų pažeidimų ir nuotolinio transporto priemonių perėmimo. To nepadarius, vairuotojai gali būti pažeidžiami vis sudėtingesnių kibernetinių atakų.