Una grave vulnerabilità individuata nel servizio connesso Starlink di Subaru ha le auto del marchio e gli account dei clienti in Stati Uniti, Canada e Giappone a potenziali attacchi remoti. Tra i rischi figurano il controllo non autorizzato delle vetture, il tracciamento degli spostamenti e il furto di dati sensibili. La falla è stata scoperta dai ricercatori di sicurezza Sam Curry e Shubham Shah il 20 novembre 2024. Gli esperti hanno rivelato che, sfruttando questa vulnerabilità, un malintenzionato avrebbe potuto sbloccare, avviare e localizzare qualsiasi veicolo Subaru utilizzando informazioni personali minime. Subaru ha risolto il problema entro 24 ore dalla segnalazione.
I due informatici – riporta CyberInsider – hanno avviato la loro analisi esaminando l’app mobile MySubaru, che consente ai proprietari di controllare la propria auto da remoto. Pur effettuando un’analisi approfondita con lo strumento Burp Suite per intercettare le richieste telematiche, inizialmente non hanno rilevato falle evidenti. Tuttavia, modificando l’approccio investigativo, hanno scoperto il portale interno STARLINK Admin Panel analizzando i sottodomini del sito subarucs.com.
Attraverso tecniche di brute-force applicate a file JavaScript nascosti, è emersa una vulnerabilità nella procedura di reset della password, che consentiva di modificarla senza necessità di verifica via email. Grazie a LinkedIn, i ricercatori hanno identificato gli indirizzi email di alcuni dipendenti Subaru e, sfruttando un’ulteriore falla nell’enumerazione delle domande di sicurezza, sono riusciti a confermare account validi e ottenere l’accesso come amministratori.
Una volta entrati nel pannello di amministrazione STARLINK, hanno bypassato l’autenticazione a due fattori (2FA) eliminando semplicemente il livello di protezione lato client presente nel codice JavaScript del sito. In possesso dei privilegi di amministratore, i ricercatori sono stati in grado di:
- Tracciare in tempo reale qualsiasi veicolo Subaru e consultare lo storico delle posizioni per un anno, con una precisione di cinque metri.
- Sbloccare, avviare e arrestare da remoto qualsiasi veicolo.
- Modificare le autorizzazioni di accesso ai veicoli, aggiungendo utenti non autorizzati.
- Ottenere dati sensibili dei clienti, come contatti di emergenza, indirizzi di residenza, numeri di telefono e dettagli parziali di fatturazione.
Per dimostrare la criticità della vulnerabilità, hanno effettuato un test su un veicolo di un amico, riuscendo a sbloccarlo da remoto utilizzando solo il numero di targa, senza che il proprietario ricevesse alcuna notifica.
Pericolo scongiurato per milioni Subaru
Subaru Corporation è fortemente presente nei mercati nordamericano e asiatico, con milioni di veicoli equipaggiati con il sistema STARLINK. Quest’ultimo offre funzionalità avanzate di accesso remoto, diagnostica e sicurezza, ma la vulnerabilità scoperta ha esposto tutti le Subaru connesse a possibili abusi, compromettendo la sicurezza e la privacy dei clienti.
Nonostante la gravità della situazione, il team di sicurezza di Subaru ha reagito tempestivamente, correggendo la vulnerabilità entro 17 ore dalla segnalazione. Tuttavia, sebbene l’azienda abbia dichiarato di non aver rilevato sfruttamenti illeciti della falla, non vi è certezza assoluta, in quanto l’attacco non lasciava tracce evidenti nei sistemi.
Per ridurre i rischi futuri, i proprietari di veicoli Subaru sono invitati a monitorare regolarmente i propri account connessi, verificare eventuali accessi non autorizzati e rivedere le impostazioni di privacy. Con l’integrazione crescente di funzionalità cloud per la gestione remota dei veicoli, il rischio di attacchi su larga scala e in modalità invisibile rimane una minaccia concreta.
