Güvenlik araştırmacıları, Subaru’nun StarLink hizmetinde saldırganların sadece bir plaka kullanarak ABD, Kanada ve Japonya’daki araçları izlemesine, kontrol etmesine ve kaçırmasına izin verebilecek keyfi bir hesap devralma kusuru keşfettiler.
Bug Bounty Hunter Sam Curry Perşembe günü, 20 Kasım 2024’te araştırmacı Shubham Shah’ın yardımıyla kırılganlığın keşfedildiğini açıkladı.
Güvenlik kusurunun potansiyel saldırganlara tüm ABD, Kanada ve Japon müşteri hesaplarına ve araçlarına sınırsız hedefli erişim sağladığını buldular. Tek gereksinim, kurbanın soyadı ve posta kodu, e -posta adresi, telefon numarası veya plaka hakkında daha önce bilgi idi.
Diğer şeylerin yanı sıra, başarılı bir sömürü, Subaru müşterilerini hedefleyen bilgisayar korsanlarının şunları yapmasına izin verebilirdi:
- Herhangi bir aracın mevcut konumunu uzaktan başlatın, durdurun, kilitleyin, kilidini açın ve alın.
- Geçtiğimiz yıldan itibaren herhangi bir aracın konum geçmişini alın (5 metreye kadar doğru ve motor her başladığında güncellendi).
- Acil durum kişileri, yetkili kullanıcılar, fiziksel adres, faturalandırma bilgileri (örneğin, tam kart numarasını hariç, kredi kartlarının son dört basamağı) ve araç pimi dahil olmak üzere herhangi bir müşterinin kişisel olarak tanımlanabilir bilgilerini (PII) sorgulayın ve alın.
- Destek çağrı geçmişi, önceki sahipler, kilometre sayacı okuma, satış geçmişi ve daha fazlası dahil olmak üzere çeşitli kullanıcı verilerine erişin.
Curry ayrıca, sadece 10 saniye içinde bir Subaru otomobili için bir yıldan fazla konum verisi elde etmek için Starlink güvenlik açığının nasıl kullanılabileceğini gösteren bir video paylaştı.
https://www.youtube.com/watch?v=0i8juy6rpbi
Araştırmacının açıkladığı gibi, Subaru Starlink’in yönetici portalı, bir “resetpassword.json” bitiş noktası, Subaru çalışanlarının geçerli bir çalışan e -postası girerek onay jetonu gerektirmeden hesaplarını sıfırlamasına izin verdi.
Bir çalışanın hesabını devraldıktan sonra Curry, portala erişmek için iki faktörlü bir kimlik doğrulama (2FA) istemini de atlamak zorunda kaldı. Bununla birlikte, bu, istemci tarafı kaplamasını portalın kullanıcı arayüzünden kaldırarak kolayca atlatıldı.
“Bir ton başka uç noktası vardı. Bunlardan biri, bir müşterinin soyadı ve posta kodunu, telefon numarasını, e -posta adresini veya VIN numarasını (plaka ile geri alınabilir) sorgulamanızı ve onların için erişimi hibe/değiştirmenizi sağlayan bir araç aramasıydı. Araç, “dedi.
“Gösterge tablosunda kendi aracımı aradıktan ve bulduktan sonra, StarLink Yönetici Gösterge Tablosu’nun ABD, Kanada ve Japonya’daki hemen hemen her Subaru’ya erişmesi gerektiğini doğruladım.”
Araştırmacılar ayrıca, bir arkadaşının Subaru arabasındaki plakayı kullanarak test ederek portalda listelenen tüm eylemleri gerçekleştirebileceklerini test ettiler.
Curry, Subaru’nun araştırmacıların raporundan sonraki 24 saat içinde kırılganlığı yamaladığını ve asla bir saldırgan tarafından sömürülmediğini söyledi.
Curry de dahil olmak üzere bir grup güvenlik araştırmacısı, Kia’nın bayi portalında benzer bir güvenlik kusuru keşfetti ve bilgisayar korsanlarının 2013’ten beri sadece hedeflenen aracın plakasını kullanarak yapılan milyonlarca KIA otomobilini bulmasına ve çalmasına izin verdi.