Una vulnerabilidad de seguridad de Subaru permitió monitorear, desbloquear y arrancar millones de automóviles de forma remota. Estaba disponible un año completo de historial de ubicaciones y tenía una precisión de cinco metros…
investigador de seguridad Sam Curry hizo un trato inusual con su madre: si ella le permitía romperlo, le compraría un Subaru.
Comenzó buscando fallas en la aplicación móvil MySubaru, pero no encontró ninguna. Sin embargo, no se quedó ahí.
Por mi experiencia pasada en empresas automotrices, sabía que podría haber aplicaciones abiertas para los empleados con permisos más amplios que las aplicaciones orientadas al cliente. Con eso en mente, decidí cambiar mi enfoque y comencé a buscar otros sitios web relacionados con Subaru para probar.
Un amigo lo ayudó a encontrar un subdominio que parecía prometedor. Por supuesto, esto requería acceso de los empleados, pero al investigar en el directorio de Javascript se reveló un código seguro para restablecer la contraseña. Entonces todo lo que necesitan es una dirección de correo electrónico de trabajo real encontrada con una búsqueda rápida en la web. Restablecieron la contraseña y luego pudieron iniciar sesión.
La única barrera que quedaba era la protección 2FA, pero resultó ser trivial de superar, ya que funcionaba en el lado del cliente y podía eliminarse localmente. Estaban dentro en ese momento.
La barra de navegación izquierda tenía muchas funciones diferentes, pero la más atractiva era “Última ubicación conocida”. Seguí adelante e ingresé el apellido y el código postal de mi madre. Su coche apareció en los resultados de búsqueda. Hice clic en él y vi todos los lugares a los que mi mamá había viajado el año pasado.
Resulta que podían controlar de forma remota cualquier Subaru equipado con Starlink y lo probaron obteniendo permiso para apuntar al auto de un amigo.
Nos envió el número de placa, detuvimos su auto en el tablero y luego nos agregamos a su auto. Esperamos unos minutos y luego vimos que nuestra cuenta se creó correctamente.
Ahora que teníamos permiso, les pedí que miraran afuera y vieran si le pasaba algo a su auto. Envié el comando “desbloquear”. Luego nos enviaron este vídeo.
No sólo controlaron el vehículo, sino que tampoco recibieron una notificación de que se había agregado un usuario autorizado a la cuenta del propietario.
Curry envió un informe a Subaru y la compañía lo arregló al día siguiente y también confirmó que no había evidencia de que alguien más tuviera acceso.
Quizás la parte más preocupante de la historia es la conclusión de Curry: fue difícil incluso escribir esta publicación porque no pensó que nada de esto sería una sorpresa para otros en la industria de la seguridad.
La mayoría de los lectores de este blog ya se ocupan de la seguridad, por lo que no creo que la recuperación de contraseña real o los métodos de omisión 2FA sean nuevos para nadie. La parte que pensé que valía la pena compartir era sobre el error en sí y cómo funcionan los sistemas de los automóviles conectados.
Lo que es único acerca de la industria automotriz es que un empleado de 18 años de Texas puede solicitar información de facturación de un automóvil de California y eso no generará ninguna llamada de preocupación. Es parte de su rutina diaria normal. Todos los empleados tienen acceso a una gran cantidad de información personal y todo se reduce a la confianza.
Con un acceso tan amplio al sistema instalado de forma predeterminada, parece muy difícil proteger realmente estos sistemas.
Foto: subaru. vía gif Sam Curry.
FTC: utilizamos enlaces de afiliados automáticos para generar ingresos. Más.
