STARLINK yönetici paneli üzerinden Subaru araçlarını hackleme ve kontrol etme

 (samcurry.net)
2 puan yazan GN⁺ 2025-01-24 | 3 yorum | WhatsApp'ta paylaş
  • 20 Kasım 2024'te, Subaru'nun STARLINK bağlantılı araç hizmetinde ABD, Kanada ve Japonya'daki araçlara ve müşteri hesaplarına sınırsız erişim sağlayabilen bir güvenlik açığı bulundu
  • Saldırganlar, mağdurun yalnızca adı ve posta kodunu (veya e-posta, telefon numarası ya da araç plakasını) bilerek aracı uzaktan kontrol edebiliyor, son 1 yıla ait konum verilerini görebiliyor, müşteri kişisel bilgilerine (adres, bazı ödeme bilgileri vb.) erişebiliyor ve araç PIN'ini elde edebiliyordu
  • Bildirimden sonraki 24 saat içinde bu açık yamandı ve kötü niyetli kullanım vakası tespit edilmedi

Giriş

  • Araştırmacı, 20 Kasım 2024'te Subaru STARLINK hizmetindeki bir güvenlik açığını keşfederek araçların tamamen uzaktan kontrol edilebildiğini ve konumlarının izlenebildiğini doğruladı
  • Yalnızca basit müşteri bilgileriyle (ad/posta kodu, e-posta, telefon numarası, plaka vb.) uzaktan çalıştırma, kapıları açıp kilitleme ve hassas araç konumu takibi gibi yetkiler kötüye kullanılabiliyordu
  • Sorun, bildirimden kısa süre sonra düzeltildi

Proof of Concept

  • Yalnızca plaka bilgisiyle yaklaşık 10 saniye içinde bir Subaru aracının ele geçirilip 1 yıllık konum geçmişinin görüntülendiği bir gösterim yapıldı
  • Örnek olarak gerçek bir 2023 model Subaru Impreza'ya ait 1.600 konum koordinatı kullanıldı

Güvenlik açığı analizi

MySubaru Mobile App denetimi (Auditing)

  • Araştırmacı önce MySubaru uygulamasını ters proxy (Burp Suite) ile analiz etti, ancak uygulamanın kendi güvenliği iyi kurgulandığından doğrudan sömürülebilir bir açık bulamadı
  • Saldırganlar için kullanılabilir API endpoint sayısı azdı ve yetki kontrolleri de sıkıydı

Subaru yönetici panelini bulma

  • MySubaru uygulamasının kullandığı alan adlarını analiz ederken mys.prod.subarucs.com bulundu
  • Aynı alan adında yapılan taramada iç kullanım için tasarlanmış “STARLINK Admin Portal” adlı yönetici paneli keşfedildi
  • Subaru STARLINK'in uzaktan araç kontrolü gibi işlevleri sağlayan servis olduğu bilindiğinden, araştırma bu panelin açıklarına yoğunlaştırıldı

Subaru STARLINK Admin Portal'da rastgele hesap ele geçirme

  • Panelin giriş sayfasındaki JavaScript dosyasında (login.js) resetPassword.json adlı bir endpoint bulundu
  • Bu endpoint üzerinden, yalnızca geçerli bir e-posta adresi biliniyorsa ek bir doğrulama token'ı olmadan hesap parolası sıfırlanabiliyordu
  • LinkedIn vb. kaynaklarla Subaru çalışanlarının e-posta formatı çıkarılarak gerçek çalışan adresleri denendi ve hesaplar keyfi biçimde ele geçirildi

2FA atlatma

  • Ele geçirilen hesapla girişte 2FA etkinleştirilmişti, ancak bu yalnızca UI seviyesinde bir işlevdi
  • İstemci tarafı JavaScript kodu yorum satırına alınarak overlay kaldırılınca 2FA etkisiz hale getirilebildi
  • Sunucu tarafı 2FA durumunu düzgün doğrulamadığından yönetim işlevlerine erişim mümkün oldu

Annenin aracını 1 yıl boyunca izleme

  • Araştırmacı, aile aracının (2023 Subaru Impreza) gerçek konum geçmişine erişerek son 1 yılda motorun çalıştırıldığı veya uzaktan komut gönderildiği her anda kaydedilen tüm koordinatları görüntüledi
  • Yaklaşık 1.600 konum kaydı açığa çıktı ve hassasiyet en fazla 5 metreye kadar iniyordu

1 yıllık Subaru konum verisini görselleştirme

  • 1 yıla ait koordinatlar bir harita üzerinde gösterildiğinde, çok ayrıntılı tüm hareket rotası ortaya çıktı
  • Bu veriler kullanıcının (araştırmacının annesinin) STARLINK kullanım şartlarını kabul etmesiyle toplanmış olsa da, güvenlik açığı nedeniyle üçüncü kişilerin bunları keyfi olarak görüntüleyebilmesi ciddi bir risk olduğunu gösterdi

Bir arkadaşın aracının kilidini açma

  • Başka bir kullanıcının plaka bilgisi girilerek araç arandı ve yönetici panelinde araştırmacının kendi hesabı ‘Authorized User’ olarak eklendi
  • Ardından uzaktan kapı açma komutu çalıştırıldı ve gerçek aracın kilidinin açıldığı videoyla doğrulandı
  • Mağdura hesap ekleme ya da araç kontrolüyle ilgili hiçbir bildirim gitmedi

Zaman çizelgesi

  • 20 Kasım 2024 11:54 PM CST: İlk bildirim SecOps e-postasına gönderildi
  • 21 Kasım 2024 7:40 AM CST: Subaru ekibinden ilk yanıt alındı
  • 21 Kasım 2024 4:00 PM CST: Açık düzeltildikten sonra artık yeniden üretilemediği doğrulandı
  • 23 Ocak 2025 6:00 AM CST: Blog yazısı yayımlandı

Ek notlar (Addendum)

  • Güvenlik uzmanları açısından parola sıfırlama ve 2FA atlatma gibi açıklar kendi başına yaygın sayılabilir, ancak bir otomobil üreticisi sisteminde etki alanı ve açığa çıkan hassas veri miktarı son derece büyüktü
  • Otomotiv sektörünün yapısı gereği, bir bölgedeki çalışanın yurt dışındaki araç veya kişisel verilere erişmesi normal iş akışı sayılabildiğinden güvenliğin sağlanması daha da zor görünüyor
  • Temelde çalışanlara geniş yetkiler veren bir yapı bulunduğundan, köklü güvenliği sürdürmek kolay görünmüyor

İlgili okumalar

3 yorum

 
crawler 2025-01-24

İlginçmiş

  • Alt alan adı tarayıcısıyla yönetici sayfasını bulmuşlar
  • Yönetici sayfasında kaba kuvvet deneyerek parola sıfırlama API'sini bulmuşlar
  • Yönetici sayfasında kaba kuvvet deneyerek e-postanın var olup olmadığını doğrulayabilen bir API bulmuşlar

Ve en önemlisi olan 2FA atlatma yöntemi metinde yer almıyor ama istemci web sayfasındaki
> //$('#securityQuestionModal').modal('show');

yorum satırına alma işlemiyle atlatıldığı söyleniyor haha, gerçekten şok edici
Güvenlikten çok anlamasam da, insanların hayatının söz konusu olduğu bir otomobil şirketi için bu fazla ağır değil mi?
 
crawler 2025-01-24

Üzgünüm, şimdi fark ettim ki 2FA atlatması metnin içinde de varmış. Yine de bunun tek satırlık bir kod yorumuna alınarak atlatılmış olması beni fazlasıyla şaşırttı.
 
GN⁺ 2025-01-24
Hacker News yorumu

  • Subaru, Starlink ve ilgili ortakların araçları uzaktan takip edip devre dışı bırakabilen bir sisteme sahip olduğu

    • Bu sistem, kolluk kuvvetlerinin araçları takip edebilmesini sağlıyor
    • STARLINK aboneliği sırasında bu tür veri toplamaya onay verilmiş gibi görünüyor

  • Subaru'nun kişisel bilgi toplama ve kullanımına ilişkin "bilme hakkı" talebinin sonucu

    • Subaru çeşitli kişisel bilgileri toplayabilir ve satabilir
    • Toplanan bilgiler hizmet sunumu, pazarlama ve yasal yükümlülüklere uyum için kullanılır
    • Bilgiler hizmet sağlayıcılar, yükleniciler, perakendeciler vb. ile paylaşılır

  • Subaru'nun connected services geliştirme ekibiyle ilgili deneyim

    • Ekip içinde nepotizm ve tavsiyeleri dinlemeyen bir kültür olduğu
    • Sistemin çalışıyor olmasının başlı başına şaşırtıcı olduğu

  • Starlink web uygulamasındaki güvenlik sorunları

    • İki faktörlü kimlik doğrulamayı atlatabilen bir kod bulunduğu
    • Bir hackerın Starlink çalışanının hesabını ele geçirerek erişim sağlamasının etik hackleme sınırını aştığı

  • İnternete bağlı araçların gerekliliğine dair soru işaretleri

    • Tüm seyahat verileri kaydedilip dağıtılabilir
    • Bunun için açık bir onay süreci gerekli

  • 2013 Outback modeli ile yeni Subaru araçların karşılaştırılması

    • Yeni modellerin kullanıcı arayüzü kullanışsız ve performansı daha düşük
    • Elektrikli direksiyon sistemi ve turbo gecikmesi sorun yaratıyor
    • Gelecekte rekabetçi elektrikli veya hibrit modellere ihtiyaç var

  • Subaru sahipleri için bilgi

    • ABD içinde herhangi bir yerden veri silme talebinde bulunulabilir
    • Yaklaşık 6 ay sürer ve bir doğrulama e-postası gönderilir

  • Starlink üzerinden uzaktan çalıştırma olasılığı

    • Komut satırı üzerinden aracı uzaktan çalıştırmanın mümkün olup olmadığına dair soru
    • Starlink'in uzaktan çalıştırma sisteminden daha ucuz olabileceği

  • Aracın her zaman çevrimiçi olan bir bilgisayar gibi olması

    • Yazılımın kullanıcı kontrolü olmadan çalıştığı ve güvenlik açıkları barındırdığı

  • Uzaktan 'durdurma' özelliğinin hareket halindeki bir aracı durdurup durduramayacağına dair endişe

    • Temel bir güvenlik açığı üzerinden yoldaki tüm araçların durdurulabilme ihtimaline dair kaygı