Due ricercatori di sicurezza hanno scoperto una vulnerabilità che consentiva di prendere il controllo di milioni di Subaru e tracciare gli spostamenti dei proprietari. Il bug, presente nel portale web del servizio Starlink (nessuna correlazione con l’omonimo servizio di SpaceX), è stato prontamente corretto dalla casa automobilistica giapponese.
Apertura e accensione da remoto
La vulnerabilità è stata scoperta il 20 novembre 2024 da Sam Curry insieme al collega Shubham Shah. Interessava le automobili connesse ad Internet tramite il servizio Starlink di Subaru e vendute in tre paesi (Stati Uniti, Canada e Giappone). Il bug consentiva di accedere all’account del proprietario del veicolo ed eseguire diverse azioni.
Erano necessarie solo alcune informazioni facilmente reperibili online e direttamente nel luogo dove risiede la vittima: nome, indirizzo email, numero di telefono, codice postale e targa. La vulnerabilità permetteva di accedere al portale web di amministrazione del servizio Starlink utilizzando l’account dei dipendenti di Subaru.
Nel codice della pagina di login era presente uno script che consentiva il recupero della password senza token di conferma. Era sufficiente conoscere l’indirizzo email del dipendente per resettare la password. Dopo aver effettuato l’accesso all’account era possibile disattivare l’autenticazione in due fattori.
Il ricercatore Sam Curry ha effettuato i test usando l’account della madre (proprietaria di una Subaru Impreza). Sfruttando il bug era possibile visualizzare la cronologia degli spostamenti con data e coordinate geografiche, tutti i dati personali degli utenti e alcuni dati del veicolo (come i Km percorsi).
La vulnerabilità consentiva inoltre di aprire/chiudere le portiere e accendere/spegnere il motore. Il proprietario del veicolo non riceveva nessuna notifica relativa all’accesso non autorizzato. In seguito alla segnalazione, Subaru ha corretto il bug in 24 ore.