Subaru Starlink flaw let hackers hijack cars in US and Canada
2025/01/24 BleepingComputer — Subaru Starlink サービスに存在する、任意のアカウント乗っ取りの脆弱性により、米国/カナダ/日本のナンバープレートを用いて、車両の追跡/制御/ハイジャックが可能なことが、セキュリティ研究者たちにより解明された。2025年1月23日 (木) にバグ・ハンターである Sam Curry 公表した内容は、2024年11月20日の時点で研究者 Shubham Shah の協力を得て発見した、この脆弱性の詳細である。
このセキュリティ上の欠陥を悪用する攻撃者が、米国/カナダ/日本における、すべてのユーザー・アカウントと車両に対して、標的を絞ったアクセスが可能なことを、彼らは発見した。唯一の要件は、被害者の姓名/郵便番号/電子メールアドレス/電話番号/ナンバープレートに情報である。
Subaru のユーザーを狙って、この脆弱性を悪用するハッカーは、以下のアクションを可能にするという。
- 任意の車両に対する、リモートスタート/停止/ロック/ロック解除/現在位置の取得。
- 過去1 年間における、任意の車両の位置履歴を、エンジン始動のタイミングで 5m以内の精度で取得。
- 緊急連絡先/承認済みユーザー/住所/請求情報 (クレジットカード下4桁)/車両 PIN など、ユーザーの個人識別情報 (PII) を照会して取得。
- サポート通話履歴/以前の所有者/走行距離計データ/販売履歴などの、各種ユーザー・データへのアクセス。
さらに Sam Curry は、Starlink の脆弱性を悪用することで、僅か 10秒間で Subaru 車両の1年分以上の位置情報を取得する方法を、ビデオで共有している。
研究者が発見した Subaru Starlink 管理ポータルの問題には、スバルの従業員が確認トークンなしで有効なメールを使用してアカウントをリセットできるように設計された、 “resetPassword.json” API エンドポイントに起因する、任意のアカウント乗っ取りの脆弱性が含まれていた。
従業員のアカウントの乗っ取りを成功させた Curry は、ポータルにアクセスするために 2FA プロンプトをバイパスする必要があった。しかし、ポータルの UI から、クライアント側のオーバーレイを削除することで簡単に回避できたという。
彼は、「他にも、たくさんのエンドポイントがあった。そのうちの1つは車両検索であり、顧客の姓名/郵便番号/電話番号/メールアドレス/VIN 番号 (ナンバープレートから取得可能) を照会することで、車両へのアクセス許可/変更が可能になった。ダッシュボードで検索して、自分の車両を見つけ出した後に、Starlink 管理ダッシュボードから、米国/カナダ/日本で稼働している、ほとんどの Subaru にアクセスできることを確認した」と付け加えている。
研究者たちは、友人の Subaru 車のナンバープレートを使用して、ポータルにリストされている、すべてのアクションの実行もテストした。
Curry によると、研究者たちの報告から 24時間以内に、Subaru は脆弱性を修正しており、攻撃者に悪用されることは無かったという。
セキュリティ研究者のグループは、起亜自動車のディーラーポータルにも、同様のセキュリティ上の欠陥を発見した。それを悪用するハッカーは、標的の車両のナンバープレートのみを使用して、2013年以降に製造された何百万台もの起亜自動車の位置を特定し、盗み出せるという。
Subaru の Starlink で発見された脆弱性ですが、かなりの破壊力を持つものですが、Sam Curry の調査/分析/報告により、大事には至らずに済んだようです。この Sam Curry さんですが、どこかで見た名前だと思い、このブログ内を検索してみたところ、2023/01/04 の「Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘」に登場していました。この道の、スペシャリストですね。
IoT OT Security News 
You must be logged in to post a comment.