Hackeando e controlando veículos Subaru pelo painel administrativo do STARLINK

 (samcurry.net)
2 pontos por GN⁺ 2025-01-24 | 3 comentários | Compartilhar no WhatsApp
  • Em 20 de novembro de 2024, foi descoberta uma vulnerabilidade no serviço de veículos conectados STARLINK da Subaru que permitia acesso irrestrito a veículos e contas de clientes nos Estados Unidos, Canadá e Japão
  • Um invasor precisava saber apenas o nome e o CEP da vítima (ou e-mail, telefone ou placa do veículo) para controlar o carro remotamente, consultar o histórico de localização do último ano, visualizar dados pessoais do cliente (como endereço e parte das informações de pagamento) e até obter o PIN do veículo
  • Após o relato, a vulnerabilidade foi corrigida em menos de 24 horas, e não houve casos de uso malicioso

Introdução

  • Em 20 de novembro de 2024, o pesquisador descobriu uma falha de segurança no serviço Subaru STARLINK e confirmou que era possível ter controle remoto total do veículo e rastreamento de localização
  • Mesmo com informações simples do cliente (nome/CEP, e-mail, telefone, placa etc.), era possível abusar das permissões para partida remota, abrir e trancar portas e rastrear com precisão a localização do veículo
  • O problema foi corrigido rapidamente após a notificação

Proof of Concept

  • Foi feita uma demonstração mostrando que, sabendo apenas a placa, era possível assumir o controle de um Subaru em cerca de 10 segundos e consultar 1 ano de histórico de localização
  • Foram usados como exemplo 1.600 pontos de localização reais de um Subaru Impreza 2023

Análise da vulnerabilidade

Auditoria do app MySubaru Mobile

  • O pesquisador inicialmente analisou o app MySubaru com proxy reverso (Burp Suite), mas a segurança do próprio app era bem estruturada, e nenhuma vulnerabilidade de ataque direta foi encontrada
  • Havia poucos endpoints de API úteis para atacantes, e a validação de permissões era rígida

Encontrando o painel administrativo da Subaru

  • Ao analisar os domínios usados pelo app MySubaru, foi encontrado mys.prod.subarucs.com
  • Ao escanear o mesmo domínio, foi descoberto um painel administrativo interno chamado “STARLINK Admin Portal”
  • Sabendo que o Subaru STARLINK era o serviço responsável por controle remoto do veículo e afins, a investigação passou a focar nas vulnerabilidades desse painel

Tomada de contas arbitrárias no Subaru STARLINK Admin Portal

  • Em um arquivo JavaScript (login.js) identificado na página de login do painel, havia um endpoint chamado resetPassword.json
  • Por meio desse endpoint, bastava descobrir um endereço de e-mail válido para redefinir a senha da conta sem nenhum token adicional de verificação
  • Rastreando o padrão de e-mail de funcionários da Subaru via LinkedIn e outras fontes, foi possível inserir um e-mail real de funcionário e assumir a conta arbitrariamente

Bypass de 2FA

  • Ao fazer login com a conta comprometida, o 2FA estava ativado, mas era um recurso apenas no nível da UI
  • Ao comentar o código JavaScript do lado do cliente e remover o overlay, foi possível neutralizar o 2FA
  • No servidor, não havia validação adequada do status do 2FA, o que permitia acessar as funções administrativas

Rastreamento do carro da mãe por 1 ano

  • O pesquisador acessou o histórico real de localização de um veículo da família (um Subaru Impreza 2023) e consultou todas as coordenadas armazenadas sempre que o carro foi ligado ou recebeu comandos remotos ao longo do último ano
  • Cerca de 1.600 registros de localização foram expostos, com precisão de até 5 metros

Visualização de 1 ano de dados de localização da Subaru

  • Ao reunir as coordenadas de um ano e marcá-las em um mapa, todo o trajeto detalhado de deslocamento ficou visível
  • As informações haviam sido coletadas com o consentimento do usuário (a mãe do pesquisador) ao aceitar os termos de uso do STARLINK, mas a vulnerabilidade mostrou o risco de terceiros conseguirem acessá-las arbitrariamente

Destravando o carro de um amigo

  • Após inserir a placa de outro usuário para localizar o veículo, o pesquisador adicionou sua própria conta como “Authorized User” no painel administrativo
  • Em seguida, executou o comando remoto de abertura das portas, e um vídeo confirmou que o veículo realmente foi destravado
  • A vítima não recebeu nenhuma notificação sobre a adição da conta nem sobre o controle do veículo

Linha do tempo

  • 20 de novembro de 2024, 11:54 PM CST: primeiro relato enviado por e-mail à equipe de SecOps
  • 21 de novembro de 2024, 7:40 AM CST: primeira resposta recebida da equipe da Subaru
  • 21 de novembro de 2024, 4:00 PM CST: correção da vulnerabilidade concluída e confirmação de que ela não podia mais ser reproduzida
  • 23 de janeiro de 2025, 6:00 AM CST: publicação do post no blog

Conteúdo adicional (Addendum)

  • Do ponto de vista de um especialista em segurança, vulnerabilidades como redefinição de senha e bypass de 2FA são comuns, mas o alcance do impacto e a escala de exposição de dados sensíveis em sistemas de montadoras são enormes
  • Pelas características da indústria automotiva, pode parecer normal que um funcionário de uma região consulte dados de veículos ou informações pessoais de outros países, o que torna a segurança mais difícil
  • Como a estrutura já concede permissões amplas aos funcionários por padrão, manter a segurança de forma fundamental não parece simples

Leituras relacionadas

3 comentários

 
crawler 2025-01-24

Interessante mesmo

  • Encontraram a página de administração com um scanner de subdomínios
  • Na página de administração, por força bruta, encontraram a API de redefinição de senha
  • Na página de administração, por força bruta, encontraram uma API que permitia verificar se um e-mail existia ou não

E o mais importante: o bypass de 2FA não apareceu no texto principal, mas dizem que foi contornado com este trecho comentado na página web do cliente:
> //$('#securityQuestionModal').modal('show');

kkkk, sinceramente é chocante
Mesmo sem entender muito de segurança, para uma montadora em que vidas estão em jogo, isso não é sério demais?
 
crawler 2025-01-24

Desculpem, agora que vi que a evasão do 2FA também estava no texto principal. Mesmo assim, fiquei muito chocado que ela tenha sido contornada apenas comentando uma única linha de código.
 
GN⁺ 2025-01-24
Comentários do Hacker News

  • A Subaru, a Starlink e parceiros relacionados têm um sistema que pode rastrear e desativar veículos remotamente

    • Esse sistema permite que as autoridades acompanhem veículos
    • Ao assinar o STARLINK, o usuário aparentemente concorda com essa coleta de dados

  • Resultado de uma solicitação de "direito de saber" sobre a coleta e o uso de informações pessoais pela Subaru

    • A Subaru pode coletar e vender vários tipos de informações pessoais
    • As informações coletadas são usadas para prestação de serviços, marketing e cumprimento de obrigações legais
    • As informações são compartilhadas com prestadores de serviço, contratados, varejistas etc.

  • Experiência com a equipe de desenvolvimento de serviços conectados da Subaru

    • Há nepotismo dentro da equipe e uma cultura que não escuta conselhos
    • É surpreendente que o sistema funcione

  • Problemas de segurança no web app da Starlink

    • Existe um código que permite contornar a autenticação em dois fatores
    • O fato de o hacker ter acessado a conta de um funcionário da Starlink para obter acesso ultrapassa os limites do hacking ético

  • Questionamento sobre a necessidade de carros conectados à internet

    • Todos os dados de viagem podem ser registrados e distribuídos
    • É necessário um processo claro de consentimento para isso

  • Comparação entre o modelo Outback 2013 e os veículos Subaru mais recentes

    • A interface do usuário dos modelos mais novos é desconfortável e tem desempenho inferior
    • A direção eletrônica e o turbo lag são problemas
    • No futuro, serão necessários modelos elétricos ou híbridos competitivos

  • Informações para proprietários de Subaru

    • É possível solicitar a exclusão dos dados de qualquer lugar dos EUA
    • Leva cerca de 6 meses, e um e-mail de confirmação é enviado

  • Possibilidade de partida remota via Starlink

    • Pergunta sobre a possibilidade de ligar o veículo remotamente pela linha de comando
    • O Starlink pode ser mais barato que um sistema de partida remota

  • O fato de que carros são como computadores sempre online

    • O software opera sem controle do usuário e existem vulnerabilidades de segurança

  • Preocupação sobre se a função remota de 'parada' pode interromper um veículo em movimento

    • Preocupação com a possibilidade de parar todos os veículos na estrada por meio de uma vulnerabilidade básica