| 23 января 2025 г. — 6:13 утра по тихоокеанскому времени
Уязвимость в системе безопасности Subaru позволяла удаленно отслеживать, разблокировать и запускать миллионы автомобилей. Была доступна история местоположений за целый год, с точностью до пяти метров…
Исследователь безопасности Сэм Карри заключил необычную сделку со своей матерью: он купит ей Subaru, если она позволит ему попробовать ее взломать.
Он начал с поиска уязвимостей в мобильном приложении MySubaru, но не смог их найти. Однако на этом он не остановился.
Из моего прошлого опыта работы с автомобильными компаниями я знал, что могут существовать общедоступные приложения для сотрудников с более широкими разрешениями, чем приложения, ориентированные на клиентов. Учитывая это, я решил сменить фокус и начал искать другие связанные с Subaru веб-сайты для тестирования.
Друг помог ему найти перспективный поддомен. Он, конечно, требовал входа для сотрудника, но некоторое копание в каталоге Javascript выявило небезопасный код сброса пароля. Все, что им тогда было нужно, — это действующий адрес электронной почты сотрудника, который они нашли с помощью быстрого веб-поиска. Они сбросили пароль и смогли войти в систему.
Единственным оставшимся препятствием была защита 2FA, но ее оказалось тривиально обойти, так как она работала на стороне клиента и могла быть удалена локально. В этот момент они получили доступ.
Левая навигационная панель содержала массу различных функций, но самой интересной из них была «Последнее известное местоположение». Я ввел фамилию и почтовый индекс моей мамы. Ее машина появилась в результатах поиска. Я кликнул по ней и увидел все места, куда моя мама ездила за последний год.
Оказалось, что они также могут удаленно взять под контроль любой автомобиль Subaru с установленной системой Starlink, и они проверили это, получив разрешение на использование автомобиля друга.
Она прислала нам свой номерной знак, мы нашли ее автомобиль в административной панели, а затем наконец добавили себя к ее машине. Мы подождали несколько минут, затем увидели, что наша учетная запись была успешно создана.
Теперь, когда у нас был доступ, я спросил, могут ли они выглянуть наружу и посмотреть, что происходит с их машиной. Я отправил команду «разблокировать». Затем они прислали нам это видео.
Они не только получили контроль над автомобилем, но и его владелец даже не получил сообщения о том, что авторизованный пользователь был добавлен в его учетную запись.
Карри отправил отчет в Subaru, и компания исправила это на следующий день, также подтвердив, что не было никаких доказательств того, что кто-либо еще получал доступ.
Возможно, самая тревожная часть истории — это вывод Карри: ему было трудно даже написать этот пост, потому что он не думал, что что-либо из этого удивит других представителей индустрии безопасности.
Большинство читателей этого блога уже работают в сфере безопасности, поэтому я действительно не думаю, что методы сброса пароля или обхода 2FA являются для кого-то новыми. Часть, которой, по моему мнению, стоило поделиться, это влияние самой ошибки и то, как на самом деле работают подключенные автомобильные системы.
Автомобильная индустрия уникальна тем, что 18-летний сотрудник из Техаса может запросить платежную информацию об автомобиле в Калифорнии, и это не вызовет никаких тревог. Это часть их обычной повседневной работы. Все сотрудники имеют доступ к огромному объему личной информации, и все это основано на доверии.
Кажется, очень сложно по-настоящему обезопасить эти системы, когда такой широкий доступ встроен в них по умолчанию.
Фото: Subaru. GIF через Сэма Карри.