Уязвимость Subaru Starlink сделала автомобили уязвимыми для удаленного взлома

Серьезная уязвимость в сервисе подключенных автомобилей Subaru Starlink подвергла автомобили и учетные записи клиентов в США, Канаде и Японии потенциальным кибератакам. Исследователь безопасности Сэм Карри вместе с коллегой Шубхамом Шахом обнаружили критические уязвимости, которые могли позволить злоумышленникам получить административный доступ к системе подключенных автомобилей Subaru, что позволило бы удаленно управлять автомобилями и получать доступ к конфиденциальным данным клиентов.

Starlink, система информационно-развлекательной и подключенной системы для автомобилей Subaru, предназначена для предоставления таких функций, как удаленное управление транспортным средством, навигация и экстренные службы. Однако исследователи обнаружили, что панель администратора системы, предназначенная исключительно для сотрудников, была недостаточно защищена. Размещенный на поддомене subarucs.com, портал администратора мог быть использован из-за слабых протоколов аутентификации в коде JavaScript. В частности, он позволял злоумышленникам сбрасывать пароли для действительных учетных записей сотрудников, не требуя токена подтверждения, эффективно обходя меры безопасности.

Определив подлинный адрес электронной почты сотрудника, Карри и Шах смогли сбросить пароль для учетной записи и обойти двухфакторную аутентификацию, отключив наложение на стороне клиента. Это предоставило им полный доступ к панели администратора, открыв кладезь конфиденциальных данных. Они могли просматривать информацию о клиентах, включая имена, почтовые индексы, номера телефонов, адреса электронной почты и платежные реквизиты, а также данные, относящиеся к транспортному средству, такие как номера VIN и историческая информация о местоположении.

Уязвимости не ограничивались раскрытием данных. По словам Карри, панель администратора также позволяла исследователям изменять или предоставлять доступ к транспортным средствам. Это включало удаленный запуск, остановку, блокировку или разблокировку автомобиля без ведома владельца. В тревожном открытии они продемонстрировали, что злоумышленники могли добавлять себя в качестве авторизованных пользователей для транспортного средства, не предупреждая законного владельца, фактически захватывая контроль над автомобилем.

Карри сообщил об уязвимости Subaru 20 ноября 2024 года. К чести Subaru, компания действовала быстро и устранила проблему в течение 24 часов после получения отчета. Хотя этот быстрый ответ снизил непосредственный риск, обнаружение выявило сохраняющиеся слабые стороны в автомобильной кибербезопасности.

Это не первый раз, когда Карри выявляет уязвимости в системах подключенных автомобилей. В 2023 году он и группа исследователей выявили недостатки безопасности, влияющие на телематические системы, автомобильные API и инфраструктуру подключенных автомобилей 16 автопроизводителей. Это включало в себя громкую проблему в телематической системе Sirius XM, из-за которой несколько брендов стали уязвимы для удаленного взлома. Кроме того, Карри ранее обнаружил ошибку в платформе для владельцев автомобилей Kia, которая поставила под угрозу миллионы автомобилей.

Случай Subaru Starlink подчеркивает важность тщательного тестирования безопасности в экосистемах подключенных автомобилей. С ростом интеграции систем IoT в транспортные средства производители должны уделять первостепенное внимание надежным мерам кибербезопасности для защиты от утечек данных и удаленных захватов транспортных средств. Невыполнение этого требования может сделать водителей уязвимыми для все более сложных кибератак.