Hacken und Kontrolle von Subaru-Fahrzeugen über das STARLINK-Admin-Panel

 (samcurry.net)
2 Punkte von GN⁺ 2025-01-24 | 3 Kommentare | Auf WhatsApp teilen
  • Am 20. November 2024 wurde in Subarus vernetztem Fahrzeugdienst STARLINK eine Schwachstelle entdeckt, die uneingeschränkten Zugriff auf Fahrzeuge und Kundenkonten in den USA, Kanada und Japan ermöglichte
  • Ein Angreifer musste nur den Namen und die Postleitzahl des Opfers kennen (oder E-Mail, Telefonnummer oder Kennzeichen), um Fahrzeuge aus der Ferne zu steuern, Standortdaten des vergangenen Jahres einzusehen, persönliche Kundendaten (Adresse, Teile der Zahlungsinformationen usw.) abzurufen und die Fahrzeug-PIN zu erhalten
  • Innerhalb von 24 Stunden nach der Meldung wurde die Schwachstelle gepatcht; Fälle missbräuchlicher Ausnutzung gab es nicht

Einleitung

  • Der Forscher entdeckte am 20. November 2024 eine Sicherheitslücke im Subaru-STARLINK-Dienst und bestätigte, dass eine vollständige Fernsteuerung von Fahrzeugen sowie Standortverfolgung möglich waren
  • Schon mit einfachen Kundendaten (Name/Postleitzahl, E-Mail, Telefonnummer, Kennzeichen usw.) ließen sich Berechtigungen für Fernstart, Ver- und Entriegeln sowie präzise Fahrzeugortung missbrauchen
  • Das Problem wurde kurz nach der Meldung behoben

Proof of Concept

  • Es wurde demonstriert, dass sich allein mit dem Kennzeichen innerhalb von etwa 10 Sekunden ein Subaru übernehmen und der Standortverlauf eines Jahres abrufen ließ
  • Als Beispiel dienten 1.600 Standortkoordinaten eines echten Subaru Impreza aus dem Modelljahr 2023

Analyse der Schwachstelle

Audit der MySubaru Mobile App

  • Der Forscher analysierte zunächst die MySubaru-App mit einem Reverse Proxy (Burp Suite), fand jedoch keine direkte Angriffsschwachstelle, da die App selbst sicher aufgebaut war
  • Es gab nicht viele nützliche API-Endpunkte für Angreifer, und die Berechtigungsprüfungen waren streng

Auffinden des Subaru-Admin-Panels

  • Bei der Analyse der von der MySubaru-App genutzten Domain wurde mys.prod.subarucs.com gefunden
  • Durch das Scannen derselben Domain wurde ein internes Administrationspanel mit der Bezeichnung „STARLINK Admin Portal“ entdeckt
  • Da Subaru STARLINK der Dienst für Fernsteuerung von Fahrzeugen und ähnliche Funktionen ist, wurde gezielt nach Schwachstellen in diesem Panel gesucht

Übernahme beliebiger Konten im Subaru STARLINK Admin Portal

  • In der JavaScript-Datei (login.js) auf der Login-Seite des Panels wurde ein Endpunkt namens resetPassword.json gefunden
  • Über diesen Endpunkt ließ sich das Passwort zurücksetzen, sobald eine gültige E-Mail-Adresse bekannt war — ohne separates Bestätigungstoken
  • Über LinkedIn und andere Quellen wurde das E-Mail-Schema von Subaru-Mitarbeitern nachvollzogen; mit echten Mitarbeiteradressen gelang so die Übernahme beliebiger Konten

Umgehung von 2FA

  • Beim Login mit einem übernommenen Konto war 2FA aktiviert, sie existierte jedoch nur auf UI-Ebene
  • Durch Auskommentieren des clientseitigen JavaScript-Codes und Entfernen des Overlays ließ sich 2FA deaktivieren
  • Auf Serverseite wurde nicht korrekt geprüft, ob 2FA tatsächlich durchlaufen worden war, sodass der Zugriff auf Verwaltungsfunktionen möglich blieb

Verfolgung des Fahrzeugs der Mutter über ein Jahr

  • Der Forscher griff auf den realen Standortverlauf eines Familienfahrzeugs (2023 Subaru Impreza) zu und rief alle gespeicherten Koordinaten der Zeitpunkte ab, an denen im vergangenen Jahr der Motor gestartet oder Remote-Befehle gesendet worden waren
  • Dabei wurden rund 1.600 Standortdatensätze offengelegt, mit einer Genauigkeit von bis zu 5 Metern

Visualisierung eines Jahres Subaru-Standortdaten

  • Nachdem die Koordinaten eines ganzen Jahres auf einer Karte dargestellt wurden, wurde die sehr konkrete vollständige Bewegungsroute sichtbar
  • Die Daten wurden zwar mit Zustimmung des Nutzers (der Mutter des Forschers) im Rahmen der STARLINK-Nutzungsbedingungen erhoben, doch die Sicherheitslücke zeigte das Risiko, dass Außenstehende sie beliebig einsehen konnten

Entriegeln des Fahrzeugs eines Freundes

  • Nach Eingabe des Kennzeichens eines anderen Nutzers wurde dessen Fahrzeug gesucht und im Admin-Panel das eigene Konto als „Authorized User“ hinzugefügt
  • Anschließend wurde ein Remote-Befehl zum Entriegeln der Türen ausgeführt; in einem Video war zu sehen, dass das Fahrzeug tatsächlich entriegelt wurde
  • Das Opfer erhielt weder eine Benachrichtigung über die Kontohinzufügung noch über die Fahrzeugsteuerung

Zeitachse

    1. November 2024, 11:54 PM CST: Erstmeldung per SecOps-E-Mail
    1. November 2024, 7:40 AM CST: Erste Antwort vom Subaru-Team erhalten
    1. November 2024, 4:00 PM CST: Nach Abschluss der Behebung bestätigt, dass die Schwachstelle nicht mehr reproduzierbar war
    1. Januar 2025, 6:00 AM CST: Veröffentlichung des Blogbeitrags

Zusatz (Addendum)

  • Aus Sicht von Sicherheitsexperten sind Schwachstellen wie Passwort-Reset und 2FA-Umgehung an sich nicht ungewöhnlich, doch bei Systemen von Autoherstellern sind die Auswirkungen und das Ausmaß der Offenlegung sensibler Daten enorm
  • Aufgrund der Besonderheiten der Automobilbranche kann es als normale Arbeit gelten, wenn ein Mitarbeiter in einer Region auf Fahrzeug- oder Personendaten im Ausland zugreift, was Sicherheitskontrollen erschwert
  • Da Mitarbeitern strukturell sehr weitreichende Rechte eingeräumt werden, scheint es nicht einfach zu sein, grundlegende Sicherheit dauerhaft aufrechtzuerhalten

Verwandte Beiträge

3 Kommentare

 
crawler 2025-01-24

Interessant.

  • Mit einem Subdomain-Scanner die Admin-Seite gefunden
  • Auf der Admin-Seite per Brute Force eine API zum Zurücksetzen des Passworts gefunden
  • Auf der Admin-Seite per Brute Force eine API gefunden, mit der sich prüfen ließ, ob eine E-Mail-Adresse existiert

Und das Wichtigste, nämlich die Umgehung von 2FA, wurde im Haupttext zwar nicht erwähnt, aber sie soll durch das Auskommentieren von
> //$('#securityQuestionModal').modal('show');

auf der Client-Webseite umgangen worden sein, lol. Das ist wirklich schockierend.
Auch wenn ich mich mit Sicherheit nicht gut auskenne: Für einen Autohersteller, bei dem Menschenleben auf dem Spiel stehen, ist das nicht viel zu heftig?
 
crawler 2025-01-24

Entschuldigung, ich sehe gerade, dass die Umgehung der 2FA auch im Haupttext erwähnt wurde. Trotzdem war ich extrem schockiert, dass sie sich durch das Auskommentieren einer einzigen Codezeile umgehen ließ.
 
GN⁺ 2025-01-24
Hacker-News-Kommentare

  • Es gibt ein System, mit dem Subaru, Starlink und die zugehörigen Partner Fahrzeuge aus der Ferne verfolgen und deaktivieren können

    • Dieses System ermöglicht es Strafverfolgungsbehörden, Fahrzeuge zu verfolgen
    • Mit dem STARLINK-Abonnement scheint man dieser Datenerfassung zugestimmt zu haben

  • Ergebnis einer Anfrage zum „Recht auf Auskunft“ bezüglich der Erhebung und Nutzung personenbezogener Daten durch Subaru

    • Subaru kann verschiedene personenbezogene Daten erfassen und verkaufen
    • Die erfassten Informationen werden zur Bereitstellung von Diensten, für Marketing und zur Einhaltung gesetzlicher Verpflichtungen verwendet
    • Die Informationen werden mit Dienstleistern, Auftragnehmern, Händlern usw. geteilt

  • Erfahrungen mit dem Entwicklungsteam für die Connected Services von Subaru

    • Im Team gibt es Nepotismus und eine Kultur, in der nicht auf Ratschläge gehört wird
    • Dass das System überhaupt funktioniert, ist erstaunlich

  • Sicherheitsprobleme in der Starlink-Web-App

    • Es gibt Code, mit dem sich die Zwei-Faktor-Authentifizierung umgehen lässt
    • Dass der Hacker sich Zugang verschaffte, indem er das Konto eines Starlink-Mitarbeiters kompromittierte, überschreitet die Grenze des ethischen Hackings

  • Zweifel an der Notwendigkeit internetverbundener Fahrzeuge

    • Sämtliche Reisedaten können aufgezeichnet und verbreitet werden
    • Dafür ist ein klarer Einwilligungsprozess erforderlich

  • Vergleich zwischen dem Outback-Modell von 2013 und aktuellen Subaru-Fahrzeugen

    • Die Benutzeroberfläche der aktuellen Modelle ist unkomfortabel und leistungsschwach
    • Elektronische Lenkung und Turboloch sind problematisch
    • Künftig werden wettbewerbsfähige Elektro- oder Hybridmodelle benötigt

  • Informationen für Subaru-Besitzer

    • In den USA kann überall die Löschung der Daten beantragt werden
    • Es dauert etwa 6 Monate, und es wird eine Bestätigungs-E-Mail versendet

  • Möglichkeit des Fernstarts über Starlink

    • Frage, ob sich das Fahrzeug über die Kommandozeile aus der Ferne starten lässt
    • Starlink könnte günstiger sein als ein Fernstartsystem

  • Dass ein Fahrzeug wie ein ständig online befindlicher Computer ist

    • Die Software arbeitet ohne Kontrolle durch den Nutzer, und es bestehen Sicherheitslücken

  • Sorge darüber, ob eine Fernfunktion zum „Anhalten“ ein fahrendes Fahrzeug stoppen könnte

    • Befürchtung, dass durch grundlegende Schwachstellen alle Fahrzeuge auf der Straße angehalten werden könnten