Subaru Starlink sårbarhet exponerade bilar för fjärrhackning

En stor sårbarhet i Subarus Starlink-anslutna fordonstjänst utsatte fordon och kundkonton i USA, Kanada och Japan för potentiella cyberattacker. Säkerhetsforskaren Sam Curry, tillsammans med forskarkollegan Shubham Shah, avslöjade kritiska brister som kunde ha gjort det möjligt för angripare att få administrativ åtkomst till Subarus uppkopplade fordonssystem, vilket möjliggör fjärrkontroll av fordon och tillgång till känslig kunddata.

Starlink, infotainment och anslutna tjänster för Subaru-bilar, är designat för att tillhandahålla funktioner som fjärrstyrning av fordon, navigering och räddningstjänst. Forskarna upptäckte dock att systemets adminpanel, avsedd uteslutande för anställda, var otillräckligt säkrad. Hosted på en underdomän av subarucs.com, kan adminportalen utnyttjas på grund av svaga autentiseringsprotokoll i JavaScript-koden. Specifikt tillät det angripare att återställa lösenord för giltiga anställdskonton utan att kräva en bekräftelsetoken, vilket effektivt kringgår säkerhetsåtgärder.

Genom att identifiera en legitim anställd e-post kunde Curry och Shah återställa lösenordet för kontot och kringgå tvåfaktorsautentisering genom att inaktivera överlagringen på klientsidan. Detta gav dem full tillgång till administratörsinstrumentpanelen och avslöjade en mängd känsliga data. De kunde se kundinformation, inklusive namn, postnummer, telefonnummer, e-postadresser och faktureringsinformation, såväl som fordonsspecifika data som VIN-nummer och historisk platsinformation.

Sårbarheterna stannade inte vid dataexponering. Enligt Curry gjorde adminpanelen också det möjligt för forskarna att ändra eller ge åtkomst till fordon. Detta inkluderade fjärrstart, stopp, låsning eller upplåsning av en bil utan ägarens vetskap. I ett alarmerande fynd visade de att angripare kunde lägga till sig själva som auktoriserade användare av ett fordon utan att varna den legitima ägaren, och effektivt ta över kontrollen över bilen.

Curry rapporterade felet till Subaru den 20 november 2024. Till Subarus förtjänst agerade företaget snabbt och löste problemet inom 24 timmar efter att ha mottagit rapporten. Även om denna snabba reaktion mildrade den omedelbara risken, belyser upptäckten ihållande svagheter i fordonscybersäkerhet.

Det är inte första gången Curry har avslöjat sårbarheter i uppkopplade fordonssystem. År 2023 avslöjade han och ett team av forskare säkerhetsbrister som påverkar telematiksystem, API:er för fordon och den uppkopplade fordonsinfrastrukturen hos 16 biltillverkare. Detta inkluderade ett uppmärksammat problem i Sirius XM-telematiksystemet, vilket gjorde att flera varumärken var mottagliga för fjärrhackning. Dessutom har Curry tidigare upptäckt en bugg i Kias bilägarplattform som satte miljontals fordon i fara.

Subaru Starlink-fallet understryker vikten av rigorösa säkerhetstester i uppkopplade bilars ekosystem. Med den växande integrationen av IoT-system i fordon måste tillverkare prioritera robusta cybersäkerhetsåtgärder för att skydda mot dataintrång och fjärrövertaganden av fordon. Underlåtenhet att göra det kan göra förare sårbara för allt mer sofistikerade cyberattacker.