Siber güvenlik araştırmacıları Shubham Shah ve bir meslektaşı, 20 Kasım 2024’te çığır açan bir keşifle Subaru’nun STARLINK bağlantılı araç hizmetinde büyük bir güvenlik açığını ortaya çıkardı.
Kusur, Amerika Birleşik Devletleri, Kanada ve Japonya’daki araçlara ve müşteri hesaplarına yetkisiz, sınırsız erişime izin verdi.
Kötü niyetli aktörler, bu güvenlik açığından yararlanarak araç işlevlerini uzaktan kontrol edebilir ve araçların kilidini açma, konum geçmişini izleme ve kişisel olarak tanımlanabilir bilgileri (PII) alma gibi hassas müşteri verileri eylemlerine erişebilir.
Subaru, araştırmacıların raporunu aldıktan sonra 24 saat içinde güvenlik açığını hızlı bir şekilde yamalayarak olası büyük ölçekli istismarın önüne geçti.
Araştırmacılar, kurbanın soyadı, posta kodu, e-posta adresi, telefon numarası veya plaka gibi minimum kullanıcı bilgilerinin STARLINK sisteminden yararlanmak için ne kadar yeterli olduğunu ayrıntılı olarak açıkladı.
Bu erişim, araçları uzaktan çalıştırma, durdurma, kilitleme ve kilitlerini açma gibi işlemleri gerçekleştirmelerine olanak sağladı.
Ayrıca bir aracın bir yıllık konum geçmişini beş metreye kadar doğrulukla almayı ve acil durumda iletişime geçilecek kişiler, fatura bilgileri ve hatta araç PIN’leri de dahil olmak üzere müşterilerin hassas verilerine erişmeyi başardılar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Erişim Kontrollerindeki Sistemik Kusurlar
Araştırmacılar başlangıçta Subaru’nun MySubaru mobil uygulamasını incelediler ancak güvenliğinin sağlam olduğunu buldular.
Odak noktalarını değiştirerek Subaru’nun arka uç sistemlerini araştırdılar ve araçlara ve müşteri kayıtlarına geniş erişim sağlayan, çalışanlara yönelik bir STARLINK yönetici paneline rastladılar.
“resetPassword.json” uç noktasındaki bir kusurdan yararlanarak, doğrulama veya belirteç gerekmeden çalışanların parolalarını sıfırlıyorlar.
LinkedIn’deki çalışanların e-posta adresleri gibi kamuya açık bilgileri kullanarak sisteme yetkisiz erişim sağlamayı başardılar.
Daha ileri araştırmalar, yönetici panelinin, araştırmacıların istemci tarafında basit değişikliklerle atladığı zayıf iki faktörlü kimlik doğrulama (2FA) uygulamasını ortaya çıkardı.
İçeri girdikten sonra yönetici kontrol paneli, STARLINK özellikli araçlar için araç kontrol özelliklerine ve müşteri verilerine sınırsız erişim sağladı.
Gerçek Dünya Senaryoları ve Araç Erişimi
Güvenlik açığının ciddiyetini doğrulamak için araştırmacılar, kendi araçları ve izin veren kişilerin araçları üzerinde kontrollü deneyler gerçekleştirdi.
Örneğin, yönetici panelini kullanarak kendilerini bir arkadaşlarının Subaru’suna yetkili kullanıcı olarak eklediler ve ardından aracın kilidini açmak da dahil olmak üzere uzaktan komutları, sahibine herhangi bir bildirim almadan başarıyla uyguladılar.
Araştırmacılar ayrıca, fiziksel adresler, acil durumda iletişime geçilecek kişiler ve fatura verileri gibi kapsamlı müşteri bilgilerinin tamamının STARLINK yönetici panosundan alınabildiğini de gösterdi.
Araştırmacılar, güvenlik açığını 20 Kasım 2024’ün sonlarında Subaru’nun güvenlik ekibine bildirdi.
Subaru ertesi sabah kusuru kabul etti ve öğleden sonraya kadar bir düzeltme uygulayarak daha fazla istismarın önüne geçti.
Şirketin hızlı eylemi olası zararı azaltırken, olay bağlantılı araç sistemlerinin güvenliğinin sağlanmasındaki sistemik zorlukların altını çizdi.
Araştırmacıların da belirttiği gibi otomotiv endüstrisi, çoğunlukla güvene dayalı olarak, varsayılan olarak çalışanlara hassas verilere kapsamlı erişim sağlıyor.
Bu keşif, bağlantılı araç sistemlerinde sağlam erişim kontrollerine, çok katmanlı kimlik doğrulama mekanizmalarına ve sıkı güvenlik testlerine olan kritik ihtiyacın altını çiziyor.
Otomasyon ve bağlantı, modern araçları tanımlamaya devam ederken, bunun gibi güvenlik açıkları, kullanıcı güvenliği ve gizliliği açısından geniş kapsamlı sonuçlara yol açabilir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri