Subaru Starlink-sårbarhet utsatte biler for ekstern hacking

En stor sårbarhet i Subarus Starlink-tilkoblede kjøretøytjeneste utsatte kjøretøy og kundekontoer i USA, Canada og Japan for potensielle cyberangrep. Sikkerhetsforsker Sam Curry, sammen med medforsker Shubham Shah, avdekket kritiske feil som kunne ha tillatt angripere å få administrativ tilgang til Subarus tilkoblede kjøretøysystem, noe som muliggjorde fjernkontroll av kjøretøy og tilgang til sensitiv kundedata.

Starlink, infotainment og tilkoblede tjenester for Subaru-biler, er designet for å gi funksjoner som fjernkontroll av kjøretøy, navigasjon og nødtjenester. Forskerne oppdaget imidlertid at systemets administrasjonspanel, utelukkende ment for ansatte, var utilstrekkelig sikret. Vert på et underdomene av subarucs.com, kan adminportalen utnyttes på grunn av svake autentiseringsprotokoller i JavaScript-koden. Spesielt tillot det angripere å tilbakestille passord for gyldige medarbeiderkontoer uten å kreve et bekreftelsestoken, og omgå effektivt sikkerhetstiltak.

Ved å identifisere en legitim ansatt-e-post, klarte Curry og Shah å tilbakestille passordet for kontoen og omgå tofaktorautentisering ved å deaktivere overlegget på klientsiden. Dette ga dem full tilgang til admin-dashbordet, og avslørte en mengde sensitive data. De kunne se kundeinformasjon, inkludert navn, postnummer, telefonnumre, e-postadresser og faktureringsdetaljer, samt kjøretøyspesifikke data som VIN-nummer og historisk stedsinformasjon.

Sårbarhetene stoppet ikke ved dataeksponering. Ifølge Curry gjorde administrasjonspanelet også forskerne i stand til å endre eller gi tilgang til kjøretøy. Dette inkluderte fjernstart, stopp, låsing eller opplåsing av en bil uten eierens viten. I et alarmerende funn demonstrerte de at angripere kunne legge seg til som autoriserte brukere for et kjøretøy uten å varsle den legitime eieren, og effektivt overta kontrollen over bilen.

Curry rapporterte feilen til Subaru 20. november 2024. Til Subarus kreditt handlet selskapet raskt og løste problemet innen 24 timer etter mottak av rapporten. Selv om denne raske responsen dempet den umiddelbare risikoen, fremhever oppdagelsen vedvarende svakheter i cybersikkerhet for biler.

Dette er ikke første gang Curry har avslørt sårbarheter i tilkoblede kjøretøysystemer. I 2023 avslørte han og et team av forskere sikkerhetsfeil som påvirker telematikksystemer, automotive APIer og den tilkoblede kjøretøyinfrastrukturen til 16 bilprodusenter. Dette inkluderte et høyt profilert problem i Sirius XM-telematikksystemet, som gjorde at flere merker var utsatt for ekstern hacking. I tillegg har Curry tidligere avdekket en feil i Kias bileierplattform som satte millioner av kjøretøy i fare.

Subaru Starlink-saken understreker viktigheten av streng sikkerhetstesting i tilkoblede biløkosystemer. Med den økende integrasjonen av IoT-systemer i kjøretøy, må produsenter prioritere robuste cybersikkerhetstiltak for å beskytte mot datainnbrudd og fjernovertakelse av kjøretøy. Unnlatelse av å gjøre det kan gjøre sjåfører sårbare for stadig mer sofistikerte nettangrep.