Kwetsbaarheid van Subaru Starlink stelde auto's bloot aan hacking op afstand

Een grote kwetsbaarheid in Subaru's Starlink connected vehicle service stelde voertuigen en klantaccounts in de VS, Canada en Japan bloot aan potentiële cyberaanvallen. Beveiligingsonderzoeker Sam Curry ontdekte samen met collega-onderzoeker Shubham Shah kritieke fouten die aanvallers in staat hadden kunnen stellen om administratieve toegang te krijgen tot Subaru's connected vehicle-systeem, waardoor voertuigen op afstand konden worden bestuurd en toegang kon worden verkregen tot gevoelige klantgegevens.

Starlink, het infotainment- en connected services-systeem voor Subaru-auto's, is ontworpen om functies te bieden zoals afstandsbediening van het voertuig, navigatie en nooddiensten. De onderzoekers ontdekten echter dat het admin-paneel van het systeem, dat uitsluitend bedoeld was voor werknemers, onvoldoende beveiligd was. De admin-portal, die gehost werd op een subdomein van subarucs.com, kon worden misbruikt vanwege zwakke authenticatieprotocollen in de JavaScript-code. Het stelde aanvallers in staat om wachtwoorden voor geldige werknemersaccounts opnieuw in te stellen zonder dat er een bevestigingstoken nodig was, waardoor de beveiligingsmaatregelen effectief werden omzeild.

Door een legitiem e-mailadres van een werknemer te identificeren, konden Curry en Shah het wachtwoord voor het account opnieuw instellen en de tweefactorauthenticatie omzeilen door de client-side overlay uit te schakelen. Dit gaf hen volledige toegang tot het admin-dashboard, waardoor een schat aan gevoelige gegevens werd onthuld. Ze konden klantgegevens bekijken, waaronder namen, postcodes, telefoonnummers, e-mailadressen en factuurgegevens, evenals voertuigspecifieke gegevens zoals VIN-nummers en historische locatiegegevens.

De kwetsbaarheden hielden niet op bij het blootstellen van gegevens. Volgens Curry stelde het admin-paneel de onderzoekers ook in staat om voertuigen te wijzigen of toegang te verlenen. Dit omvatte het op afstand starten, stoppen, vergrendelen of ontgrendelen van een auto zonder medeweten van de eigenaar. In een alarmerende bevinding toonden ze aan dat aanvallers zichzelf konden toevoegen als geautoriseerde gebruikers voor een voertuig zonder de rechtmatige eigenaar te waarschuwen, waardoor ze effectief de controle over de auto overnamen.

Curry meldde het lek op 20 november 2024 bij Subaru. Subaru's eer moet gezegd worden dat het bedrijf snel handelde en het probleem binnen 24 uur na ontvangst van het rapport oploste. Hoewel deze snelle reactie het onmiddellijke risico verkleinde, benadrukt de ontdekking hardnekkige zwakheden in de cyberbeveiliging van auto's.

Dit is niet de eerste keer dat Curry kwetsbaarheden in connected vehicle-systemen blootlegt. In 2023 onthulden hij en een team van onderzoekers beveiligingslekken die telematicasystemen, automotive API's en de connected vehicle-infrastructuur van 16 autofabrikanten troffen. Dit omvatte een opvallend probleem in het Sirius XM-telematicasysteem, waardoor meerdere merken vatbaar waren voor hacking op afstand. Bovendien ontdekte Curry eerder een bug in het auto-eigenaarsplatform van Kia, waardoor miljoenen voertuigen in gevaar kwamen.

De Subaru Starlink-zaak onderstreept het belang van strenge beveiligingstests in connected car-ecosystemen. Met de groeiende integratie van IoT-systemen in voertuigen moeten fabrikanten prioriteit geven aan robuuste cybersecuritymaatregelen om te beschermen tegen datalekken en overnames van voertuigen op afstand. Als ze dat niet doen, kunnen bestuurders kwetsbaar worden voor steeds geavanceerdere cyberaanvallen.