Piratage et contrôle de véhicules Subaru via le panneau d’administration STARLINK

 (samcurry.net)
2 points par GN⁺ 2025-01-24 | 3 commentaires | Partager sur WhatsApp
  • Le 20 novembre 2024, une vulnérabilité a été découverte dans le service de véhicules connectés STARLINK de Subaru, permettant un accès sans restriction aux véhicules et aux comptes clients aux États-Unis, au Canada et au Japon
  • Un attaquant pouvait, avec seulement le nom et le code postal de la victime (ou son e-mail, numéro de téléphone ou plaque d’immatriculation), contrôler le véhicule à distance, consulter un an d’historique de localisation, accéder à des données personnelles du client (adresse, partie des informations de paiement, etc.) et récupérer le code PIN du véhicule
  • La faille a été corrigée dans les 24 heures suivant le signalement, et aucun cas d’exploitation malveillante n’a été observé

Introduction

  • Le chercheur a découvert le 20 novembre 2024 une faille de sécurité dans le service Subaru STARLINK, confirmant qu’il était possible de contrôler à distance l’ensemble des véhicules et d’en suivre la position
  • De simples informations client (nom/code postal, e-mail, téléphone, plaque d’immatriculation, etc.) suffisaient pour détourner des droits permettant le démarrage à distance, l’ouverture et le verrouillage des portes, ainsi qu’un suivi précis de la position du véhicule
  • Le problème a été corrigé rapidement après le signalement

Proof of Concept

  • Une démonstration a montré qu’il suffisait de connaître une plaque d’immatriculation pour prendre le contrôle d’un véhicule Subaru en environ 10 secondes et consulter un an d’historique de localisation
  • Le cas concret utilisé reposait sur 1 600 points de localisation d’une Subaru Impreza modèle 2023

Analyse de la vulnérabilité

Audit de l’application mobile MySubaru

  • Le chercheur a d’abord analysé l’application MySubaru via un proxy inverse (Burp Suite), mais la sécurité propre à l’application était bien conçue et aucune faille directement exploitable n’y a été trouvée
  • Il y avait peu d’API endpoints exploitables par un attaquant, et les vérifications d’autorisation étaient strictes

Recherche du panneau d’administration Subaru

  • En analysant les domaines utilisés par l’application MySubaru, le chercheur a trouvé mys.prod.subarucs.com
  • En scannant ce même domaine, il a découvert un panneau d’administration interne intitulé « STARLINK Admin Portal »
  • Sachant que Subaru STARLINK est le service chargé notamment du contrôle à distance des véhicules, il a concentré ses recherches sur les vulnérabilités de ce panneau

Prise de contrôle arbitraire de comptes dans le Subaru STARLINK Admin Portal

  • Dans le fichier JavaScript (login.js) identifié sur la page de connexion du panneau, figurait un endpoint nommé resetPassword.json
  • Via cet endpoint, il était possible de réinitialiser le mot de passe d’un compte sans jeton de vérification, dès lors qu’une adresse e-mail valide était connue
  • En reconstituant le format des e-mails d’employés Subaru via LinkedIn et d’autres sources, le chercheur a réussi à compromettre arbitrairement le compte d’un employé réel

Contournement de la 2FA

  • Lors de la connexion avec le compte compromis, une 2FA était bien configurée, mais il s’agissait d’un mécanisme purement au niveau de l’interface
  • En commentant le code JavaScript côté client pour supprimer l’overlay, il a été possible de neutraliser la 2FA
  • Côté serveur, l’état de la 2FA n’était pas correctement vérifié, ce qui permettait d’accéder aux fonctions d’administration

Suivi du véhicule de sa mère pendant un an

  • Le chercheur a accédé à l’historique réel de localisation du véhicule familial (une Subaru Impreza 2023) et a consulté toutes les coordonnées enregistrées chaque fois que le véhicule avait été démarré ou qu’une commande distante avait été envoyée au cours de l’année écoulée
  • Environ 1 600 enregistrements de localisation étaient exposés, avec une précision pouvant atteindre 5 mètres

Visualisation d’un an de données de localisation Subaru

  • En plaçant sur une carte l’ensemble des coordonnées sur un an, l’intégralité des trajets apparaissait de manière très détaillée
  • Ces données étaient collectées parce que l’utilisatrice (la mère du chercheur) avait accepté les conditions d’utilisation de STARLINK, mais la faille montrait qu’un tiers pouvait ensuite les consulter arbitrairement

Déverrouillage du véhicule d’un ami

  • Après avoir saisi la plaque d’immatriculation d’un autre utilisateur pour rechercher son véhicule, le chercheur a ajouté son propre compte comme « Authorized User » dans le panneau d’administration
  • Il a ensuite exécuté une commande d’ouverture à distance, et une vidéo a confirmé que le véhicule s’était effectivement déverrouillé
  • La victime n’a reçu aucune notification concernant l’ajout du compte ni le contrôle du véhicule

Chronologie

  • 20 novembre 2024, 11:54 PM CST : premier signalement envoyé par e-mail à SecOps
  • 21 novembre 2024, 7:40 AM CST : première réponse reçue de l’équipe Subaru
  • 21 novembre 2024, 4:00 PM CST : correction de la vulnérabilité effectuée, avec confirmation qu’elle n’était plus reproductible
  • 23 janvier 2025, 6:00 AM CST : publication de l’article de blog

Informations complémentaires (Addendum)

  • Du point de vue d’un expert en sécurité, des failles comme la réinitialisation de mot de passe ou le contournement de la 2FA sont courantes, mais ici l’ampleur de l’impact sur les systèmes d’un constructeur automobile et la quantité de données sensibles exposées sont considérables
  • En raison des spécificités de l’industrie automobile, il peut être considéré comme normal qu’un employé d’une région consulte des informations sur des véhicules ou des données personnelles situés à l’étranger, ce qui complique la sécurité
  • Comme l’architecture repose fondamentalement sur l’octroi de privilèges très larges aux employés, il semble difficile d’en garantir la sécurité de façon durable

À lire aussi

3 commentaires

 
crawler 2025-01-24

C’est assez fou

  • ils ont trouvé la page d’administration avec un scanner de sous-domaines
  • sur la page d’administration, ils ont bruteforcé pour trouver l’API de réinitialisation du mot de passe
  • sur la page d’administration, ils ont bruteforcé pour trouver une API permettant de vérifier si une adresse e-mail existe

Et le plus important, le contournement du 2FA, n’apparaît pas dans le corps de l’article, mais il semblerait qu’il ait été possible simplement via ce commentaire dans la page web côté client :
> //$('#securityQuestionModal').modal('show');

Franchement, c’est vraiment choquant haha
Je ne suis pas un expert en sécurité, mais pour un constructeur automobile où des vies sont en jeu, ce n’est pas beaucoup trop grave ?
 
crawler 2025-01-24

Désolé, je viens de voir que le contournement de la 2FA figurait aussi dans le corps de l’article. Cela dit, j’ai quand même été vraiment choqué que le contournement ait été possible en commentant une seule ligne de code.
 
GN⁺ 2025-01-24
Avis Hacker News

  • Subaru, Starlink et des partenaires associés disposent d’un système permettant de suivre et de désactiver des véhicules à distance

    • Ce système permet aux forces de l’ordre de suivre les véhicules
    • Il semble que l’abonnement à STARLINK vaille consentement à cette collecte de données

  • Résultat d’une demande de "droit à l’information" concernant la collecte et l’utilisation des données personnelles par Subaru

    • Subaru peut collecter et vendre diverses informations personnelles
    • Les informations collectées sont utilisées pour fournir le service, faire du marketing et respecter des obligations légales
    • Les informations sont partagées avec des prestataires de services, des sous-traitants, des revendeurs, etc.

  • Expérience avec l’équipe de développement des services connectés de Subaru

    • Il existerait au sein de l’équipe une culture de népotisme et de refus d’écouter les conseils
    • Le simple fait que le système fonctionne est surprenant

  • Problèmes de sécurité dans la web app Starlink

    • Du code permettrait de contourner l’authentification à deux facteurs
    • Le fait qu’un hacker ait piraté le compte d’un employé de Starlink pour obtenir l’accès dépasse les limites du hacking éthique

  • Remise en question de la nécessité de voitures connectées à Internet

    • Toutes les données de trajet peuvent être enregistrées et diffusées
    • Une procédure de consentement claire est nécessaire à ce sujet

  • Comparaison entre un modèle Outback 2013 et les Subaru récentes

    • L’interface utilisateur des modèles récents est peu pratique et moins performante
    • La direction électronique et le temps de réponse du turbo posent problème
    • Il faut à l’avenir des modèles électriques ou hybrides compétitifs

  • Informations pour les propriétaires de Subaru

    • Il est possible de demander la suppression des données depuis n’importe où aux États-Unis
    • Cela prend environ 6 mois et un e-mail de confirmation est envoyé

  • Possibilité de démarrage à distance via Starlink

    • Question sur la possibilité de démarrer le véhicule à distance en ligne de commande
    • Starlink pourrait coûter moins cher qu’un système de démarrage à distance

  • L’idée qu’un véhicule ressemble à un ordinateur toujours en ligne

    • Le logiciel fonctionne sans contrôle de l’utilisateur et présente des failles de sécurité

  • Inquiétudes sur le fait qu’une fonction d’« arrêt » à distance puisse stopper un véhicule en circulation

    • Crainte qu’une vulnérabilité basique puisse permettre d’arrêter toutes les voitures sur la route