Subaru bezpieczeństwo Luka umożliwiła zdalne śledzenie, odblokowywanie i uruchamianie milionów samochodów. Dostępna była historia lokalizacji z całego roku, z dokładnością do pięciu metrów…
Badacz bezpieczeństwa Sama Curry’ego zawarł niecodzienną umowę z matką: kupi jej Subaru, jeżeli pozwoli mu spróbować je zhakować.
Zaczął od szukania usterek w aplikacji mobilnej MySubaru, ale nie mógł ich znaleźć. Jednak na tym nie poprzestał.
Z moich wcześniejszych doświadczeń z firmami samochodowymi wiedziałem, iż mogą istnieć publicznie dostępne aplikacje przeznaczone dla pracowników z szerszymi uprawnieniami niż aplikacje przeznaczone dla klientów. Mając to na uwadze, zdecydowałem się zmienić punkt ciężkości i zacząłem szukać innych stron internetowych poświęconych Subaru w celu przetestowania.
Znajomy pomógł mu znaleźć obiecująco wyglądającą subdomenę. Wymagało to oczywiście logowania pracownika, ale szperanie w katalogu JavaScript ujawniło niebezpieczny kod resetowania hasła. Wszystko, czego potrzebowali, to istotny adres e-mail pracownika, który znaleźli dzięki szybkiego wyszukiwania w Internecie. Zresetowali hasło i mogli się zalogować.
Jedyną pozostałą barierą była ochrona 2FA, ale okazała się ona prosta do pokonania, ponieważ działała po stronie klienta i można ją było usunąć lokalnie. W tym momencie weszli do środka.
Lewy pasek nawigacyjny miał mnóstwo różnych funkcji, ale najbardziej soczystą brzmiącą była „Ostatnia znana lokalizacja”. Poszedłem dalej i wpisałem nazwisko mojej mamy i kod pocztowy. Jej samochód pojawił się w wynikach wyszukiwania. Kliknęłam i zobaczyłam miejsca, gdzie moja mama podróżowała w zeszłym roku.
Okazało się, iż mogą także zdalnie przejąć kontrolę nad dowolnym Subaru z zainstalowanym Starlinkem i przetestowali to, uzyskując pozwolenie na namierzenie samochodu znajomego.
Przesłała nam swoją tablicę rejestracyjną, zatrzymaliśmy jej pojazd w panelu administracyjnym, po czym w końcu dodaliśmy się do jej samochodu. Odczekaliśmy kilka minut, po czym zobaczyliśmy, iż nasze konto zostało pomyślnie utworzone.
Teraz, gdy mieliśmy dostęp, zapytałem, czy mogą wyjrzeć na zewnątrz i sprawdzić, czy coś się dzieje z ich samochodem. Wysłałem polecenie „odblokuj”. Następnie przesłali nam ten film.
Nie tylko mieli kontrolę nad samochodem, ale jego właściciel choćby nie otrzymał wiadomości, iż do jego konta dodano autoryzowanego użytkownika.
Curry wysłał raport do Subaru, a firma naprawiła go następnego dnia, potwierdzając również, iż nie było dowodów na to, iż ktokolwiek inny uzyskał dostęp.
Być może najbardziej niepokojącą częścią tej historii jest konkluzja Curry’ego – iż trudno było choćby napisać post, ponieważ nie sądził, iż jakikolwiek z niego zaskoczy innych w branży zabezpieczeń.
Większość czytelników tego bloga zajmuje się już bezpieczeństwem, więc naprawdę nie sądzę, iż faktyczne resetowanie hasła lub techniki obejścia 2FA są dla kogokolwiek nowością. Częścią, którą uznałem za wartą podzielenia się, był wpływ samego błędu oraz sposób, w jaki faktycznie działają połączone systemy samochodowe.
Branża samochodowa jest wyjątkowa pod tym względem, iż 18-letni pracownik z Teksasu może sprawdzić informacje rozliczeniowe pojazdu w Kalifornii i tak naprawdę nie uruchomi to żadnego alarmu. To część ich normalnej, codziennej pracy. Wszyscy pracownicy mają dostęp do tony danych osobowych, a całość opiera się na zaufaniu.
Naprawdę trudno jest naprawdę zabezpieczyć te systemy, gdy domyślnie wbudowany jest w system tak szeroki dostęp.
Zdjęcie: Subaru. GIF przez Sama Curry’ego.
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
