Ranjivost u Subaruovoj usluzi Starlink povezanih vozila omogućila je neograničen pristup računima kupaca u SAD-u, Kanadi i Japanu, kaže istraživač sigurnosti Sam Curry.
Starlink, infotainment sistem u vozilu za Subaru vozila, pružio je funkcionalnost na daljinu kojoj se moglo pristupiti sa administratorskog portala kojem bi samo zaposleni trebali imati pristup.
Zajedno sa c istraživačem Shubhamom Shahom, Curry je otkrio da je admin panel bio smješten na poddomenu subarucs.com i, nakon što je pronašao JavaScript datoteke koje je poddomen koristio, otkrio je da se lozinka za račun bilo kojeg zaposlenika može promijeniti bez tokena za potvrdu.
„Ako bi ovo funkcionisalo kako je napisano u JavaScript-u, napadač bi jednostavno mogao da unese bilo koju važeću e-poštu zaposlenog i preuzme njihov nalog“, objašnjava Kari.
Nakon što su identifikovali važeću e-poštu zaposlenika, istraživači su resetovali lozinku, a zatim uklonili preklapanje na strani klijenta iz korisničkog interfejsa kako bi zaobišli dvofaktorsku autentifikaciju, što im je omogućilo pristup funkcionalnosti panela.
Pristup administrativnom panelu, kaže Curry, omogućio im je da vide informacije o vozilu, uključujući istorijske podatke o lokaciji, VIN broj i druge podatke, kao i informacije o klijentima, kao što su prezime, poštanski broj, broj telefona, adresa e-pošte i informacije o naplati.
„Nakon što sam pretražio i pronašao svoje vozilo na kontrolnoj tabli, potvrdio sam da bi Starlink administrativna tabla trebalo da ima pristup skoro svakom Subaruu u Sjedinjenim Državama, Kanadi i Japanu“, kaže Kari.
Štaviše, istraživači su otkrili da im je administrativni panel omogućio da dodijele/izmijene pristup automobilima, u suštini omogućavajući preuzimanje vozila bez ikakvih preduslova i bez upozorenja vlasnika automobila.
Napadač sa pristupom admin panelu mogao bi preuzeti automobil jednostavnim dodavanjem sebe kao ovlaštenog korisnika tom vozilu, a vlasnik ne bi primio obavijest o ovoj radnji.
Osim što im je omogućio da traže bilo koje informacije o vozilu i klijentima, ovaj nivo pristupa admin panelu je takođe omogućio istraživačima da daljinski pokrenu, zaustave, zaključaju i otključaju ciljno vozilo, kaže Curry.
Curry je prijavio ranjivost Subaru-u 20. novembra 2024., a proizvođač automobila je riješio bezbjednosni nedostatak u roku od 24 sata nakon što je primio izvještaj.
Prošle godine, Curry je upozorio na grešku na web stranici vlasnika automobila Kia koja izlaže milione automobila hakovanju na daljinu . Zajedno sa šest drugih istraživača, 2023. je otkrio da su nedostaci u telematskim sistemima, automobilskim API-jima i infrastrukturi izložili automobile 16 proizvođača curenju podataka i daljinskom upravljanju, te da je problem u servisu za vozila povezanog sa Siriusom XM doveo nekoliko marki automobila u opasnost od hakovanja.
Izvor: SecurityWeek
