Curry e Shah hanno riferito le loro scoperte a Subaru alla fine di novembre e Subaru ha rapidamente corretto i difetti di sicurezza di Starlink. Ma i ricercatori avvertono che le vulnerabilità web di Subaru sono solo le ultime di una lunga serie di falle simili basate sul web che loro e altri ricercatori di sicurezza che lavorano con loro hanno scoperto che hanno colpito oltre una dozzina di case automobilistiche, tra cui Acura, Genesis, Honda, Hyundai. , Infiniti, Kia, Toyota e molti altri. Non c’è dubbio, dicono, che bug hackerabili altrettanto gravi esistano negli strumenti web di altre case automobilistiche che devono ancora essere scoperti.
Nel caso di Subaru, in particolare, sottolineano anche che la loro scoperta suggerisce quanto pervasivamente coloro che hanno accesso al portale Subaru possano tracciare i movimenti dei propri clienti, un problema di privacy che durerà molto più a lungo delle vulnerabilità web che lo hanno esposto. “Il fatto è che, anche se è stata applicata una patch, questa funzionalità continuerà ad esistere per i dipendenti Subaru”, afferma Curry. “È una funzionalità normale che un dipendente possa recuperare un anno di cronologia delle posizioni.”
Quando WIRED ha contattato Subaru per un commento sulle scoperte di Curry e Shah, un portavoce ha risposto in una dichiarazione che “dopo essere stato informato da ricercatori di sicurezza indipendenti, [Subaru] ha scoperto una vulnerabilità nel suo servizio Starlink che potrebbe potenzialmente consentire a terzi di accedere agli account Starlink. La vulnerabilità è stata immediatamente risolta e non è mai stato possibile accedere alle informazioni dei clienti senza autorizzazione.”
Il portavoce di Subaru ha inoltre confermato a WIRED che “ci sono dipendenti della Subaru of America, in base alla loro rilevanza lavorativa, che possono accedere ai dati sulla posizione.” L’azienda ha offerto come esempio che i dipendenti hanno tale accesso per condividere la posizione di un veicolo con i primi soccorritori in nel caso in cui venga rilevata una collisione. “Tutti questi individui ricevono una formazione adeguata e sono tenuti a firmare adeguati accordi sulla privacy, sulla sicurezza e sulla NDA, secondo necessità”, ha aggiunto la dichiarazione di Subaru “Questi sistemi dispongono di soluzioni di monitoraggio della sicurezza in continua evoluzione affrontare le moderne minacce informatiche”.
Rispondendo all’esempio di Subaru di avvisare i primi soccorritori di una collisione, Curry osserva che difficilmente richiederebbe un anno di cronologia delle posizioni. L’azienda non ha risposto a WIRED chiedendo quanto tempo fa conserva la cronologia delle posizioni dei clienti e le rende disponibili ai dipendenti.
La ricerca di Shah e Curry che li ha portati alla scoperta delle vulnerabilità di Subaru è iniziata quando hanno scoperto che l’app Starlink della madre di Curry si collegava al dominio SubaruCS.com, che avevano realizzato essere un dominio amministrativo per i dipendenti. Analizzando quel sito alla ricerca di difetti di sicurezza, hanno scoperto che potevano reimpostare le password dei dipendenti semplicemente indovinando il loro indirizzo e-mail, il che dava loro la possibilità di assumere il controllo dell’account di qualsiasi dipendente di cui riuscivano a trovare l’e-mail. La funzionalità di reimpostazione della password richiedeva risposte a due domande di sicurezza, ma hanno scoperto che tali risposte venivano controllate con codice eseguito localmente nel browser di un utente, non sul server di Subaru, consentendo di aggirare facilmente la protezione. “Ci sono stati davvero molteplici fallimenti sistemici che hanno portato a questo”, dice Shah.
I due ricercatori affermano di aver trovato l’indirizzo e-mail di uno sviluppatore Subaru Starlink su LinkedIn, di aver rilevato l’account del dipendente e di aver immediatamente scoperto che potevano utilizzare l’accesso di quel membro dello staff per cercare qualsiasi proprietario di Subaru per cognome, codice postale, indirizzo e-mail, telefono numero o targa per accedere alle configurazioni Starlink. In pochi secondi, potrebbero quindi riassegnare il controllo delle funzionalità Starlink del veicolo di quell’utente, inclusa la possibilità di sbloccare a distanza l’auto, suonare il clacson, avviare l’accensione o localizzarla, come mostrato nel video qui sotto.
