Subaru Starlink kusuru, araç izleme, uzaktan kumanda ve hassas müşteri verilerine yetkisiz erişim sağlayan kritik bir güvenlik açığı ortaya çıkardı.
Yakın zamanda siber güvenlik araştırmacıları Shubham Shah ve Sam Curry tarafından Subaru’nun StarLink bağlantılı araç sisteminde bir güvenlik açığı keşfedildi ve araçları uzaktan başlatmalarını, durdurmalarını ve izlemelerini sağladı. Subaru’nun Starlink’in araç içi hizmetindeki güvenlik açığı, saldırganların bağlı araçları uzaktan kontrol etmesine ve izlemesine izin verdi.
Starlink yönetici portalında keyfi bir hesap devralma kusuru olan güvenlik açığı, ikilinin bir Subaru çalışan hesabından ödün vermesini sağladı. Bu kusur, Amerika Birleşik Devletleri, Kanada ve Japonya’daki araçları ve müşteri hesaplarını hedeflemelerine izin verebilir.
Bu kusurdan yararlanmak, Curry ve Şah, hassas müşteri ve araç verilerine yetkisiz erişim sağlayabilir ve hatta hedeflenen araçları uzaktan kontrol edebilir. Araştırmacılar tarafından yayınlanan bir blog yayınına göre, sorun, çalışanların kullanımı için tasarlanmış bir sistem olan Subaru Starlink Yönetici Portalındaki bir kusurdan kaynaklandı.
Bu portal, saldırganların herhangi bir onay gerektirmeden çalışan şifrelerini sıfırlamasına izin veren kritik bir güvenlik açığı vardı. Bu, bir çalışanın e -posta adresini bilerek, bir saldırganın hesaplarına erişebileceği anlamına geliyordu.
“Çalışanların hesaplarını onay jetonu olmadan sıfırlayacak bir“ resetpassword.json ”uç noktası olduğu anlaşıldı. Bu, JavaScript’te nasıl yazıldığı işe yaradıysa, bir saldırgan herhangi bir geçerli çalışan e -postasını girip hesaplarını devralabilir. ”
Sam Curry
Araştırmacılar ayrıca, web sitesinin kodunu manipüle ederek, güvenlik önlemini etkili bir şekilde devre dışı bırakarak iki faktörlü kimlik doğrulamasını (2FA) atladılar. Yönetici portalına yetkisiz erişimle, araştırmacılar herhangi bir Subaru aracının herhangi bir Subaru aracını, başlangıç, durdurma, kilitleme ve kilidini açma yeteneğini gösterdiler ve duraklar ve motor başlangıcı da dahil olmak üzere herhangi bir araç için bir yıllık ayrıntılı konum geçmişine erişme, bir yıllık ayrıntılı konum geçmişine erişme, Motor her başladığında güncellemeler.
Ayrıca, iletişim bilgileri, adresler, faturalandırma bilgileri (kısmen maskeli) ve araç pimleri dahil olmak üzere herhangi bir müşterinin kişisel bilgilerini alabilirler. Ayrıca kendilerini diğer araçlara yetkili kullanıcılar olarak ekleyebilirler ve sahibinin bilgisi olmadan bunların kontrolünü etkili bir şekilde ele alabilirler.
Araştırmacılar, 20 Kasım 2024’te Subaru’ya bu güvenlik açığını bildirdi ve yanıt olarak şirket sorunu derhal ele aldı ve 24 saat içinde yamaladı. Bulgular 23 Ocak 2025’te kamuya açıklandı.
İkili tarafından önceki hack’ler
Sam Curry ve Shubham Shah, güvenlik açıklarını ortaya çıkarmak ve bunları şirketlere sorumlu bir şekilde ifşa etmek için yaratıcı ve yenilikçi yöntemleriyle tanınıyor.
Dikkate değer keşiflerinden biri, küresel olarak kullanılan Points.com sadakat sistemindeki güvenlik açıklarından yararlanmayı içeriyordu. Bu kusur, adlar, adresler, e -posta adresleri, telefon numaraları ve işlem ayrıntıları dahil olmak üzere hassas kullanıcı verilerine yetkisiz erişime izin verdi.
Aralık 2022’de Sam Curry, Honda ve Nissan araçlarını Vins aracılığıyla tehlikeye atan kritik bir uygulama kusuru belirledi. Saldırganlar, kapıların, honk boynuzları ve el fenerlerinin kilidini açmak ve hatta aracı uzaktan başlatmak için bu güvenlik açığından yararlanabilir.
Eylül 2024’te Sam Curry ve diğer üç güvenlik araştırmacısı, plakalarına bağlı güvenlik açıklarından yararlanarak KIA araçlarını kontrol etmenin bir yolunu buldular.
İlgili Konular
- Bilgisayar korsanları nasıl uzaktan kilidini açabilir/honda arabalarını başlatabilir
- Siber suçlular sömürü, arabaları çalmak için enjeksiyon hackleyebilir
- Kritik Intel Chip Kususu Arabalar ve IoT Cihazları Savunmasız
- Kendini süren arabalar sanal nesneleri göstererek kandırılabilir
- Tesla arabaları drone, wifi dongle kullanılarak uzaktan hacklenebilir