Vulnerabilidade Subaru Starlink expôs carros a hackers remotos
Uma grande vulnerabilidade no serviço de veículos conectados Starlink da Subaru expôs veículos e contas de clientes nos EUA, Canadá e Japão a potenciais ataques cibernéticos. O pesquisador de segurança Sam Curry, junto com o colega pesquisador Shubham Shah, descobriu falhas críticas que poderiam ter permitido que invasores obtivessem acesso administrativo ao sistema de veículos conectados da Subaru, permitindo o controle remoto de veículos e acesso a dados confidenciais de clientes.
Starlink, o sistema de infoentretenimento e serviços conectados para carros Subaru, foi projetado para fornecer recursos como controle remoto do veículo, navegação e serviços de emergência. No entanto, os pesquisadores descobriram que o painel de administração do sistema, destinado exclusivamente a funcionários, não estava adequadamente protegido. Hospedado em um subdomínio de subarucs.com, o portal de administração poderia ser explorado devido a protocolos de autenticação fracos no código JavaScript. Especificamente, ele permitiu que invasores redefinissem senhas para contas de funcionários válidas sem exigir um token de confirmação, ignorando efetivamente as salvaguardas de segurança.
Ao identificar um e-mail legítimo de funcionário, Curry e Shah conseguiram redefinir a senha da conta e ignorar a autenticação de dois fatores desabilitando a sobreposição do lado do cliente. Isso lhes concedeu acesso total ao painel do administrador, revelando um tesouro de dados confidenciais. Eles puderam visualizar informações do cliente, incluindo nomes, códigos postais, números de telefone, endereços de e-mail e detalhes de cobrança, bem como dados específicos do veículo, como números VIN e informações de localização histórica.
As vulnerabilidades não pararam na exposição de dados. De acordo com Curry, o painel de administração também permitiu que os pesquisadores modificassem ou concedessem acesso aos veículos. Isso incluía ligar, parar, trancar ou destrancar remotamente um carro sem o conhecimento do proprietário. Em uma descoberta alarmante, eles demonstraram que os invasores podiam se adicionar como usuários autorizados para um veículo sem alertar o proprietário legítimo, efetivamente assumindo o controle do carro.
Curry relatou a falha à Subaru em 20 de novembro de 2024. Para crédito da Subaru, a empresa agiu rapidamente e resolveu o problema em 24 horas após receber o relatório. Embora essa resposta rápida tenha mitigado o risco imediato, a descoberta destaca fraquezas persistentes na segurança cibernética automotiva.
Esta não é a primeira vez que Curry expõe vulnerabilidades em sistemas de veículos conectados. Em 2023, ele e uma equipe de pesquisadores revelaram falhas de segurança que afetam sistemas telemáticos, APIs automotivas e a infraestrutura de veículos conectados de 16 fabricantes de automóveis. Isso incluiu um problema de alto perfil no sistema telemático Sirius XM, que deixou várias marcas suscetíveis a hackers remotos. Além disso, Curry descobriu anteriormente um bug na plataforma do proprietário do carro da Kia que colocou milhões de veículos em risco.
O caso Subaru Starlink ressalta a importância de testes rigorosos de segurança em ecossistemas de carros conectados. Com a crescente integração de sistemas de IoT em veículos, os fabricantes devem priorizar medidas robustas de segurança cibernética para proteger contra violações de dados e aquisições remotas de veículos. Não fazer isso pode deixar os motoristas vulneráveis a ataques cibernéticos cada vez mais sofisticados.
