Hackeo y control de vehículos Subaru mediante el panel de administración de STARLINK

 (samcurry.net)
2 puntos por GN⁺ 2025-01-24 | 3 comentarios | Compartir por WhatsApp
  • El 20 de noviembre de 2024, se descubrió una vulnerabilidad en el servicio de vehículos conectados STARLINK de Subaru que permitía obtener acceso sin restricciones a vehículos y cuentas de clientes en Estados Unidos, Canadá y Japón
  • Un atacante podía controlar remotamente el vehículo, consultar el historial de ubicación del último año, ver información personal del cliente (como dirección y parte de la información de pago) y obtener el PIN del vehículo con solo conocer el nombre y código postal de la víctima (o su correo electrónico, número de teléfono o placa del vehículo)
  • Tras el reporte, la vulnerabilidad fue corregida en menos de 24 horas y no hubo casos de uso malicioso

Introducción

  • El investigador descubrió el 20 de noviembre de 2024 una vulnerabilidad de seguridad en el servicio Subaru STARLINK y confirmó que permitía el control remoto total del vehículo y el rastreo de ubicación
  • Con información básica del cliente (nombre/código postal, correo electrónico, teléfono, placa, etc.), era posible abusar de permisos para encendido remoto, apertura y cierre de puertas, y seguimiento preciso de la ubicación del vehículo
  • El problema fue corregido poco después de ser reportado

Proof of Concept

  • Se realizó una demostración en la que, con solo conocer la placa, se tomaba control de un vehículo Subaru en unos 10 segundos y se consultaba un año de historial de ubicaciones
  • Se usaron como ejemplo 1,600 coordenadas de ubicación de un Subaru Impreza modelo 2023 real

Análisis de la vulnerabilidad

Auditoría de la app móvil MySubaru

  • El investigador analizó primero la app MySubaru mediante un proxy inverso (Burp Suite), pero la seguridad de la app estaba bien implementada y no encontró una vulnerabilidad directa de ataque
  • No había muchos endpoints de API útiles para un atacante y las verificaciones de permisos eran estrictas

Encontrar el panel de administración de Subaru

  • Mientras analizaba los dominios utilizados por la app MySubaru, encontró mys.prod.subarucs.com
  • Al escanear ese mismo dominio, descubrió un panel administrativo interno llamado “STARLINK Admin Portal”
  • Al saber que Subaru STARLINK es el servicio encargado del control remoto del vehículo y otras funciones, centró su búsqueda en las vulnerabilidades de ese panel

Toma de control de cuentas arbitrarias en el Subaru STARLINK Admin Portal

  • En un archivo JavaScript de la página de inicio de sesión del panel (login.js), encontró un endpoint llamado resetPassword.json
  • A través de ese endpoint, si se conocía una dirección de correo válida, se podía restablecer la contraseña de la cuenta sin ningún token de verificación adicional
  • Rastreando el formato de los correos de empleados de Subaru mediante LinkedIn y otros medios, logró usar correos reales de empleados y tomar control arbitrario de sus cuentas

Bypass de 2FA

  • Al iniciar sesión con una cuenta comprometida, había 2FA configurado, pero era una función implementada solo a nivel de interfaz
  • Al comentar el código JavaScript del lado del cliente y eliminar el overlay, fue posible inutilizar el 2FA
  • Del lado del servidor no se validaba correctamente el estado del 2FA, por lo que se podía acceder a funciones administrativas

Rastreo durante un año del vehículo de su madre

  • El investigador accedió al historial real de ubicaciones del vehículo de su familia (un Subaru Impreza 2023) y consultó todas las coordenadas almacenadas cada vez que el auto fue encendido o recibió un comando remoto durante el último año
  • Quedaron expuestos alrededor de 1,600 registros de ubicación, con una precisión detallada de hasta 5 metros

Visualización de un año de datos de ubicación de Subaru

  • Al reunir las coordenadas de un año y mostrarlas en un mapa, quedó expuesto con gran detalle todo el recorrido de desplazamientos
  • Aunque la usuaria (la madre del investigador) había aceptado los términos de uso de STARLINK para la recopilación de esos datos, la vulnerabilidad confirmó el riesgo de que terceros pudieran verlos arbitrariamente

Desbloqueo del vehículo de un amigo

  • También buscó otro vehículo usando la información de su placa y luego añadió su propia cuenta como “Authorized User” desde el panel de administración
  • Después ejecutó el comando remoto para abrir las puertas y confirmó en video que el vehículo realmente se desbloqueó
  • La víctima no recibió ninguna notificación sobre la adición de la cuenta ni sobre el control del vehículo

Cronología

  • 20 de noviembre de 2024, 11:54 PM CST: se realizó el primer reporte por correo a SecOps
  • 21 de noviembre de 2024, 7:40 AM CST: se recibió la primera respuesta del equipo de Subaru
  • 21 de noviembre de 2024, 4:00 PM CST: se confirmó que la vulnerabilidad había sido corregida y ya no podía reproducirse
  • 23 de enero de 2025, 6:00 AM CST: se publicó la entrada del blog

Contenido adicional

  • Desde la perspectiva de especialistas en seguridad, vulnerabilidades como el restablecimiento de contraseñas y el bypass de 2FA son relativamente comunes, pero el alcance del impacto y la cantidad de información sensible expuesta en sistemas de un fabricante de automóviles es enorme
  • Por las características de la industria automotriz, puede considerarse una operación normal que un empleado en una región consulte información de vehículos o datos personales de otro país, lo que hace que la seguridad resulte más difícil
  • Como la estructura otorga amplios privilegios a los empleados por defecto, parece complicado mantener una seguridad sólida de forma fundamental

Lecturas relacionadas

3 comentarios

 
crawler 2025-01-24

Qué interesante.

  • Encontraron la página de administración con un escáner de subdominios
  • En la página de administración, a fuerza bruta encontraron la API de restablecimiento de contraseña
  • En la página de administración, a fuerza bruta encontraron una API con la que se podía verificar si existía un correo electrónico

Y lo más importante, la omisión del 2FA no aparece en el artículo, pero dicen que se pudo saltar dejando comentado esto en la página web del cliente:
> //$('#securityQuestionModal').modal('show');

jajaja, de verdad es impactante. No sé mucho de seguridad, pero para ser una empresa automotriz de la que depende la vida de la gente, ¿no es demasiado grave?
 
crawler 2025-01-24

Perdón, recién me di cuenta de que la omisión del 2FA también estaba en el texto. Aun así, me impactó muchísimo que se pudiera omitir con solo comentar una línea de código.
 
GN⁺ 2025-01-24
Opiniones de Hacker News

  • Subaru, Starlink y socios relacionados tienen un sistema que puede rastrear y desactivar vehículos de forma remota

    • Este sistema permite que las fuerzas del orden rastreen vehículos
    • Al suscribirse a STARLINK, parece que uno acepta esta recopilación de datos

  • Resultado de una solicitud del "derecho a saber" sobre la recopilación y uso de información personal por parte de Subaru

    • Subaru puede recopilar y vender diversa información personal
    • La información recopilada se usa para prestar servicios, marketing y cumplimiento de obligaciones legales
    • La información se comparte con proveedores de servicios, contratistas, minoristas, etc.

  • Experiencia con el equipo de desarrollo de servicios conectados de Subaru

    • Existe nepotismo dentro del equipo y una cultura que no escucha consejos
    • Sorprende que el sistema siquiera funcione

  • Problemas de seguridad en la web app de Starlink

    • Existe código que puede saltarse la autenticación de dos factores
    • Que el hacker haya accedido hackeando la cuenta de un empleado de Starlink cruza la línea del hacking ético

  • Dudas sobre la necesidad de que los vehículos estén conectados a internet

    • Todos los datos de viaje pueden registrarse y distribuirse
    • Se necesita un proceso de consentimiento claro para esto

  • Comparación entre un Outback 2013 y vehículos Subaru recientes

    • La interfaz de usuario de los modelos recientes es incómoda y su rendimiento es inferior
    • La dirección electrónica y el turbo lag son problemáticos
    • En el futuro se necesitan modelos eléctricos o híbridos competitivos

  • Información para propietarios de Subaru

    • Se puede solicitar la eliminación de datos desde cualquier lugar dentro de Estados Unidos
    • Tarda alrededor de 6 meses y se envía un correo electrónico de confirmación

  • Posibilidad de arranque remoto a través de Starlink

    • Pregunta sobre si se puede arrancar el vehículo de forma remota mediante línea de comandos
    • Starlink podría ser más barato que un sistema de arranque remoto

  • Los vehículos son como computadoras siempre en línea

    • El software funciona sin control del usuario y existen vulnerabilidades de seguridad

  • Preocupación sobre si la función remota de 'detención' puede parar un vehículo en movimiento

    • Preocupación por la posibilidad de detener todos los vehículos en la carretera mediante una vulnerabilidad básica