Badacze zhakowali samochody Subaru

Za znalezienie szeregu błędów odpowiadają Sam Curry oraz Shubham Shah. Cały proces szczegółowo opisano we wpisie na blogu. To nie pierwszy raz, kiedy Curry’emu udało się „zhakować samochód”. Wcześniej znajdował krytyczne podatności w wielu innych markach pojazdów.

Panel administracyjny

Shubham zapytał Sama o to, czy zna domenę subarucs.com. Wcześniej zauważył, że my.subaru.com (domena wykorzystywana przez aplikację MySubaru) była jednym z rekordów DNS typu CNAME (przekierowujących domenę na inną) dla mys.prod.subarucs.com.

Następnie Sam zaczął poszukiwać subdomen, aż znalazł witrynę opisaną jako „STARLINK® Admin Portal”. Wspomniany portal nie ma nic wspólnego ze Starlinkami od Elona Muska – służył jako panel logowania do portalu administracyjnego dla pracowników japońskiej marki samochodów, zaś samo „STARLINK” oznacza autorską technologię Subaru.

Logowanie oraz ominięcie 2FA

Badacze nie znali żadnych danych logowania. Analiza pliku JavaScript o nazwie „login.js” oraz wysłanie przykładowego zapytania POST wykazało, że najprawdopodobniej można zresetować hasła użytkowników. Wystarczyło do tego podanie prawdziwego maila oraz nowego hasła. Badacze znaleźli maile pracowników Subaru za pomocą LinkedIna.

Kiedy wysłali zapytanie zawierające prawdziwy adres e-mail, hasło zostało zresetowane.

Ominięcie dwuetapowego uwierzytelniania było dość trywialne, ponieważ weryfikacja odbywała się po stronie klienta (użytkownika strony). Badacze po prostu zmienili jedną linijkę kodu strony na komentarz, dzięki czemu uzyskali dostęp do witryny.

Lokalizacja mamy Sama, dane klientów oraz auto koleżanki

Po uzyskaniu dostępu do panelu administracyjnego, Sam wyszukał nazwisko swojej mamy oraz jej kod pocztowy. Jego oczom ukazała się lista „ostatniej znanej lokalizacji” auta jego mamy w formie koordynatów. Etyczny haker utworzył również mapę, pokazującą 1600 miejsc (w formie pinezek na mapie), gdzie znajdowało się wspomniane Subaru.

Samowi udało się również uzyskać informacje o adresie zamieszkania, numerze VIN, numerze telefonu czy adresie e-mail.

Sam namówił swoją koleżankę do podania tablicy rejestracyjnej pojazdu. Dzięki temu był w stanie dodać siebie do jej konta MySubaru. Udało mu się zdalnie otworzyć jej auto bez generowania jakichkolwiek powiadomień.

Do czego uzyskano dostęp?

We wpisie zawarto informację o tym, że badaczom udało się uzyskać dostęp do m.in.:

• zdalnego odpalania i gaszenia silnika;
• informacji o obecnej lokalizacji pojazdu;
• danych osobowych;
• wielu innych danych, np. historii połączeń z serwisem.

Jako dowód dołączono również krótki film, obrazujący uzyskanie dostępu do konta MySubaru.

Etyczne zhakowanie samochodów

Należy dodać, że Sam Curry i Shubham Shah zachowali się etycznie, ponieważ zgłosili Subaru wspomniane podatności. W poście znajduje się informacja o tym, że luki bezpieczeństwa zostały załatane w przeciągu 24 godzin oraz nigdy nie były wykorzystywane w złośliwy sposób.

Miejmy nadzieję, że w przyszłości ujrzymy równie szczegółowy opis ataku na Eurocert – oczywiście od strony zaatakowanej organizacji lub podmiotów współpracujących z nią.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].