Il 20 novembre 2024, una grave vulnerabilità nel sistema di connettività STARLINK di Subaru è stata individuata dai ricercatori di sicurezza informatica Shubham Shah e da un suo collega. Il problema, che riguardava la gestione degli account nel pannello di amministrazione del sistema, avrebbe potuto consentire ad attori malevoli di accedere alle automobili connesse ed ai dati personali dei clienti Subaru in Stati Uniti, Canada e Giappone.
Quali rischi?
Secondo i ricercatori, la falla permetteva a un attaccante di ottenere il controllo completo su un veicolo conoscendo solo dati limitati dell’utente, come il cognome, il CAP, l’indirizzo email, il numero di telefono o la targa. Tra le azioni possibili:
- Localizzazione in tempo reale del veicolo e accesso allo storico degli spostamenti degli ultimi 12 mesi, con una precisione di 5 metri.
- Controllo remoto del veicolo, inclusi avviamento, spegnimento, apertura e chiusura delle portiere.
- Accesso a informazioni personali sensibili (PII), come indirizzo di residenza, contatti di emergenza e dati di fatturazione.
- Modifica delle autorizzazioni associate ai veicoli, permettendo di aggiungere utenti senza notifiche.
Come è avvenuta la scoperta
La vulnerabilità è stata individuata durante un’analisi tecnica del sistema STARLINK. I ricercatori, inizialmente concentrati sull’app MySubaru, hanno poi esteso i test al portale dedicato agli amministratori. Qui, un errore nella gestione delle credenziali e nella procedura di reset delle password ha permesso il takeover degli account degli impiegati Subaru, bypassando anche le protezioni 2FA (autenticazione a due fattori).
Un esempio pratico ha dimostrato come sia stato possibile accedere alla cronologia completa degli spostamenti di un’auto semplicemente inserendo il cognome e il CAP associati al proprietario. Inoltre, il sistema consentiva di sbloccare veicoli e modificare le autorizzazioni senza che i proprietari venissero informati.
La risposta di Subaru
Dopo la segnalazione inviata ai team di sicurezza di Subaru, la vulnerabilità è stata risolta in meno di 24 ore. Secondo quanto dichiarato, il problema non è stato sfruttato in modo malevolo prima della correzione.
Il caso di Subaru comunque mette in mostra una problematica comune nei sistemi di connettività dei veicoli: l’ampio accesso ai dati personali così come il controllo remoto dell’automobile, spesso centralizzati, aumentano i rischi in caso di falle di sicurezza.
Secondo gli esperti, una maggiore attenzione alla segmentazione dei privilegi e alla protezione delle API di amministrazione potrebbe mitigare simili rischi. Tuttavia, rimane il dubbio lecito su quanto siano preparate le case automobilistiche a gestire l’enorme quantità di dati raccolti dai veicoli connessi.
Per chi volesse approfondire l’argomento, qui l’articolo originale con tutte le specifiche tecniche dell’hackeraggio.
