Subaru-Sicherheitslücke ermöglichte Millionen von Fahrzeugen zu überwachen, zu entsperren und zu starten.

Eine Sicherheitslücke bei Subaru ermöglichte es Millionen von Fahrzeugen remote zu verfolgen, abzuschließen und zu starten. Die volljährigen Standortverlaufdaten waren verfügbar und waren genau innerhalb von fünf Metern genaue.

Ein Sicherheitsforscher namens Sam Curry schloss einen ungewöhnlichen Vertrag mit seiner Mutter ab: er würde ihr ein Subaru kaufen, wenn sie ihn erlauben würde, versuchen zu stürzen.

Er begann, Schwachstellen im MySubaru Mobile App zu suchen, fand aber keine. Aber er blieb nicht damit zufrieden.

Aus meiner Vergangenheit mit Autoherstellern wusste ich, dass es öffentlich zugängliche Mitarbeiterorientierte Anwendungen geben könnte, die größeren Berechtigungen als die Kundensichtbaren Apps haben. Mit dieser Überlegung umging ich mich und begann nach anderen Subaru-bezogenen Websites zu suchen, um sie zu testen.

Ein Freund half ihm dabei, einen ansprechenden Unterdomänennamen zu finden. Natürlich musste er sich mit einem Mitarbeiterkonto anmelden, aber einige Nachforschungen in einem JavaScript-Verzeichnis entdeckten ungesicherte Passwort-Zurücksetzungscode. Alles, was sie dann noch benötigten, war eine gültige Mitarbeiter-E-Mail-Adresse, die sie mit einer schnellen Web-Suche gefunden haben konnten. Sie haben das Passwort zurückgesetzt und konnten sich dann anmelden.

Der letzte Hürde war die 2FA-Berechtigung, aber dies erwies sich als leicht zu überwinden, da sie auf der Clientseite lief und lokal entfernt werden konnte. An diesem Punkt waren sie ein.

Der linke Navigationsbereich hatte eine Vielzahl von verschiedenen Funktionen, aber die anspruchsvollsten klingenden waren „Letzte bekannte Position“. Ich tippte einfach meinen Mamas letzten Namen und PLZ ein. Ihr Auto erschien in den Suchergebnissen. Ich klickte darauf und sah überallhin, wo meine Mama im letzten Jahr gereist war.

Es schien, dass sie auch die Fähigkeit hatten, remote jedes mit Starlink installierten Subaru zu kontrollieren und dies durch das Berechtigen des Zielen auf ein Freundesauto getestet zu haben.

Sie hat uns ihre Kennzeichennummer gesendet. Wir haben ihren Fahrzeug im Admin-Panel aufgerufen und fügen wir schließlich unsere Konten zu ihrem Auto hinzu. Wir warten ein paar Minuten, dann sehen wir, dass unsere Konten erfolgreich erstellt wurden.

Da wir Zugriff hatten, fragte ich, ob sie draußen schauen konnten und etwas mit ihrem Auto passiert war. Ich sendete den Befehl 'entsperren'. Sie sendeten uns dann dieses Video.

Sie hatten Kontrolle über das Auto, und sein Besitzer erhalten auch keine Nachricht darüber, dass ein autorisierter Benutzer zu ihrem Konto hinzugefügt wurde.

Curry stellte einen Bericht an Subaru ein, und die Firma hatte es am nächsten Tag repariert. Sie bestätigten auch, dass keine Beweise dafür vorhanden waren, dass jemand anderer Zugang gehabt hätte.

Vielleicht die störendste Sache war, dass der Schaden nicht bemerkt wurde und das Unternehmen nichts dagegen tun konnte. Das macht es noch schlimmer.

Aus meiner Vergangenheit mit Autoherstellern wusste ich, dass es öffentlich zugängliche Mitarbeiterorientierte Anwendungen geben könnte, die größeren Berechtigungen als die Kundensichtbaren Apps haben. Mit dieser Überlegung umging ich mich und begann nach anderen Subaru-bezogenen Websites zu suchen, um sie zu testen.

Ein Freund half ihm dabei, einen ansprechenden Unterdomänennamen zu finden. Natürlich musste er sich mit einem Mitarbeiterkonto anmelden, aber einige Nachforschungen in einem JavaScript-Verzeichnis entdeckten ungesicherte Passwort-Zurücksetzungscode. Alles, was sie dann noch benötigten, war eine gültige Mitarbeiter-E-Mail-Adresse, die sie mit einer schnellen Web-Suche gefunden haben konnten. Sie haben das Passwort zurückgesetzt und konnten sich dann anmelden.

Der letzte Hürde war die 2FA-Berechtigung, aber dies erwies sich als leicht zu überwinden, da sie auf der Clientseite lief und lokal entfernt werden konnte. An diesem Punkt waren sie ein.

Der linke Navigationsbereich hatte eine Vielzahl von verschiedenen Funktionen, aber die anspruchsvollsten klingenden waren „Letzte bekannte Position“. Ich tippte einfach meinen Mamas letzten Namen und PLZ ein. Ihr Auto erschien in den Suchergebnissen. Ich klickte darauf und sah überallhin, wo meine Mama im letzten Jahr gereist war.

Es schien, dass sie auch die Fähigkeit hatten, remote jedes mit Starlink installierten Subaru zu kontrollieren und dies durch das Berechtigen des Zielen auf ein Freundesauto getestet zu haben.

Sie hat uns ihre Kennzeichennummer gesendet. Wir haben ihren Fahrzeug im Admin-Panel aufgerufen und fügen wir schließlich unsere Konten zu ihrem Auto hinzu. Wir warten ein paar Minuten, dann sehen wir, dass unsere Konten erfolgreich erstellt wurden.

Da wir Zugriff hatten, fragte ich, ob sie draußen schauen konnten und etwas mit ihrem Auto passiert war. Ich sendete den Befehl 'entsperren'. Sie sendeten uns dann dieses Video.

Sie hatten Kontrolle über das Auto, und sein Besitzer erhalten auch keine Nachricht darüber, dass ein autorisierter Benutzer zu ihrem Konto hinzugefügt wurde.

Curry stellte einen Bericht an Subaru ein, und die Firma hatte es am nächsten Tag repariert. Sie bestätigten auch, dass keine Beweise dafür vorhanden waren, dass jemand anderer Zugang gehabt hätte.

Vielleicht die störendste Sache war, dass der Schaden nicht bemerkt wurde und das Unternehmen nichts dagegen tun konnte. Das macht es noch schlimmer.