Luka w zabezpieczeniach Subaru Starlink naraziła samochody na zdalne hakowanie

Duża luka w usłudze pojazdów podłączonych Starlink firmy Subaru naraziła pojazdy i konta klientów w USA, Kanadzie i Japonii na potencjalne cyberataki. Badacz ds. bezpieczeństwa Sam Curry wraz ze swoim kolegą badaczem Shubhamem Shahem odkryli krytyczne luki, które mogły umożliwić atakującym uzyskanie dostępu administracyjnego do systemu pojazdów podłączonych Subaru, umożliwiając zdalne sterowanie pojazdami i dostęp do poufnych danych klientów.

Starlink, system informacyjno-rozrywkowy i usług połączonych w samochodach Subaru, został zaprojektowany tak, aby zapewniać funkcje takie jak zdalne sterowanie pojazdem, nawigację i usługi ratunkowe. Jednak badacze odkryli, że panel administracyjny systemu, przeznaczony wyłącznie dla pracowników, był niewystarczająco zabezpieczony. Portal administracyjny, hostowany w subdomenie subarucs.com, mógł zostać wykorzystany z powodu słabych protokołów uwierzytelniania w kodzie JavaScript. Konkretnie, umożliwiał atakującym resetowanie haseł do ważnych kont pracowników bez konieczności potwierdzania tokenem, skutecznie omijając zabezpieczenia.

Dzięki zidentyfikowaniu legalnego adresu e-mail pracownika Curry i Shah byli w stanie zresetować hasło do konta i ominąć uwierzytelnianie dwuskładnikowe, wyłączając nakładkę po stronie klienta. Uzyskali pełny dostęp do pulpitu administratora, ujawniając mnóstwo poufnych danych. Mogli przeglądać informacje o klientach, w tym nazwiska, kody pocztowe, numery telefonów, adresy e-mail i dane rozliczeniowe, a także dane dotyczące pojazdu, takie jak numery VIN i historyczne informacje o lokalizacji.

Luki nie ograniczały się do ujawnienia danych. Według Curry'ego panel administracyjny umożliwiał również badaczom modyfikowanie lub przyznawanie dostępu do pojazdów. Obejmowało to zdalne uruchamianie, zatrzymywanie, blokowanie lub odblokowywanie samochodu bez wiedzy właściciela. W alarmującym odkryciu wykazali, że atakujący mogli dodać siebie jako autoryzowanych użytkowników pojazdu bez powiadamiania prawowitego właściciela, skutecznie przejmując kontrolę nad samochodem.

Curry zgłosił usterkę Subaru 20 listopada 2024 r. Na korzyść Subaru przemawia fakt, że firma zareagowała szybko i rozwiązała problem w ciągu 24 godzin od otrzymania raportu. Chociaż ta szybka reakcja złagodziła bezpośrednie ryzyko, odkrycie to uwypukla trwałe słabości w cyberbezpieczeństwie motoryzacyjnym.

To nie pierwszy raz, kiedy Curry ujawnił luki w zabezpieczeniach systemów pojazdów połączonych. W 2023 r. on i zespół badaczy ujawnili luki w zabezpieczeniach wpływające na systemy telematyczne, interfejsy API motoryzacyjne i infrastrukturę pojazdów połączonych 16 producentów samochodów. Obejmowało to głośny problem w systemie telematycznym Sirius XM, który sprawił, że wiele marek stało się podatnych na zdalne hakowanie. Ponadto Curry wcześniej odkrył błąd w platformie dla właścicieli samochodów Kia, który naraził na ryzyko miliony pojazdów.

Przypadek Subaru Starlink podkreśla znaczenie rygorystycznych testów bezpieczeństwa w ekosystemach samochodów połączonych. Wraz ze wzrostem integracji systemów IoT w pojazdach producenci muszą priorytetowo traktować solidne środki cyberbezpieczeństwa, aby chronić się przed naruszeniami danych i zdalnymi przejęciami pojazdów. Niedopełnienie tego obowiązku może narazić kierowców na coraz bardziej wyrafinowane cyberataki.