Pesquisadores de segurança descobriram uma falha de tomada de conta arbitrária no serviço Starlink da Subaru que poderia permitir que atacantes rastreassem, controlassem e sequestrassem veículos nos Estados Unidos, Canadá e Japão usando apenas uma placa de licença.
O caçador de bugs Sam Curry revelou na quinta-feira que a vulnerabilidade foi descoberta em 20 de novembro de 2024, com a ajuda do pesquisador Shubham Shah.
Eles descobriram que a falha de segurança dava a potenciais atacantes acesso ilimitado e direcionado a todas as contas e veículos de clientes dos EUA, Canadá e Japão.
Os únicos requisitos eram conhecimento prévio do sobrenome da vítima e do CEP, endereço de e-mail, número de telefone ou placa de licença.
Dentre outras coisas, a exploração bem-sucedida poderia ter permitido que hackers mirando em clientes da Subaru:
- Iniciassem, parassem, trancassem, destrancassem e recuperassem a localização atual de qualquer veículo.
- Recuperassem o histórico de localização de qualquer veículo do último ano (preciso em até 5 metros e atualizado cada vez que o motor é ligado).
- Consultassem e recuperassem as informações de identificação pessoal (PII) de qualquer cliente, incluindo contatos de emergência, usuários autorizados, endereço físico, informações de faturamento (por exemplo, os últimos quatro dígitos dos cartões de crédito, excluindo o número completo do cartão) e PIN do veículo.
- Acessassem dados variados do usuário, incluindo histórico de chamadas de suporte, antigos proprietários, leitura do odômetro, histórico de vendas e mais.
Curry também compartilhou um vídeo demonstrando como a vulnerabilidade do Starlink poderia ser explorada para obter mais de um ano de dados de localização de um carro Subaru em apenas 10 segundos.
Como o pesquisador descobriu, o portal de administração do Subaru Starlink continha uma falha de tomada de conta arbitrária originada de um ponto de extremidade de API "resetPassword.json" projetado para permitir que funcionários da Subaru redefinam suas contas usando um e-mail válido sem um token de confirmação.
Após tomar o controle da conta de um funcionário, Curry também teve que contornar um aviso de autenticação de dois fatores (2FA) para acessar o portal.
No entanto, isso também foi facilmente contornado removendo a sobreposição do lado do cliente da interface do usuário do portal.
"Havia um monte de outros pontos de extremidade. Um deles era uma busca de veículo que permitia você consultar o sobrenome de um cliente e CEP, número de telefone, endereço de e-mail ou número VIN (recuperável via placa de licença) e conceder/modificar acesso ao veículo deles," ele disse.
Após buscar e encontrar meu próprio veículo no painel, confirmei que o painel de administração STARLINK deveria ter acesso a praticamente qualquer Subaru nos Estados Unidos, Canadá e Japão.
Os pesquisadores também testaram que poderiam realizar todas as ações listadas no portal usando a placa de licença do carro Subaru de um amigo.
Curry diz que a Subaru corrigiu a vulnerabilidade dentro de 24 horas após o relatório dos pesquisadores e nunca foi explorada por um atacante.
Um grupo de pesquisadores de segurança, incluindo Curry, descobriu uma falha de segurança similar no portal de revendedores da Kia, permitindo que hackers localizassem e roubassem milhões de carros da Kia fabricados desde 2013 usando apenas a placa de licença do veículo alvo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...