STARLINK管理パネル経由でのSubaru車両のハッキングと制御

 (samcurry.net)
2 ポイント 投稿者 GN⁺ 2025-01-24 | 3件のコメント | WhatsAppで共有
  • 2024年11月20日、SubaruのSTARLINKコネクテッドカーサービスで、米国・カナダ・日本の車両と顧客アカウントに無制限にアクセスできる脆弱性が発見された
  • 攻撃者は被害者の氏名と郵便番号(またはメールアドレス、電話番号、車両ナンバープレート)さえ分かれば、車両のリモート制御、過去1年分の位置情報の確認、顧客の個人情報(住所、決済情報の一部など)の閲覧、さらに車両PINの取得まで可能だった
  • 報告後24時間以内に当該脆弱性はパッチ適用され、悪用された事例はなかった

導入部

  • 研究者は2024年11月20日、Subaru STARLINKサービスのセキュリティ脆弱性を発見し、車両全体のリモート制御と位置追跡が可能であることを確認した
  • 氏名/郵便番号、メールアドレス、電話番号、ナンバープレートなどの簡単な顧客情報だけでも、リモート始動、ドアの施錠・解錠、正確な車両位置の追跡といった権限を悪用できた
  • 問題は報告後、速やかに修正された

Proof of Concept

  • ナンバープレートだけ分かれば約10秒でSubaru車両を掌握し、1年分の位置履歴を照会するデモが行われた
  • 実際の2023年型Subaru Imprezaの1,600件の位置座標が事例として使われた

脆弱性分析

MySubaru Mobile Appの監査(Auditing)

  • 研究者はまずMySubaruアプリをリバースプロキシ(Burp Suite)で分析したが、アプリ自体のセキュリティはよく構成されており、直接的な攻撃脆弱性は見つからなかった
  • 攻撃者向けに利用できるAPIエンドポイントは多くなく、権限検証も厳格に行われていた

Subaru Admin Panelの発見

  • MySubaruアプリが使用するドメインを分析する中で mys.prod.subarucs.com を発見した
  • 同じドメインのスキャンを通じて、「STARLINK Admin Portal」という内部管理用の管理パネルを見つけた
  • Subaru STARLINKがリモート車両制御などを担うサービスであることから、このパネルの脆弱性に的を絞って探索した

Subaru STARLINK Admin Portalでの任意アカウント乗っ取り

  • パネルのログインページで確認したJavaScriptファイル(login.js)に resetPassword.json というエンドポイントがあった
  • このエンドポイントを通じて、有効なメールアドレスさえ分かれば、確認トークンなしでアカウントのパスワードをリセットできた
  • LinkedInなどでSubaru社員のメールアドレス形式を追跡し、実在する社員メールアドレスを入力してアカウントを任意に乗っ取ることに成功した

2FAの回避

  • 乗っ取ったアカウントでログインすると2FAが設定されていたが、これはUIレベルの機能だった
  • クライアント側JavaScriptコードをコメントアウトしてオーバーレイを消すと、2FAを無効化できた
  • サーバー側では2FAの有無を適切に検証しておらず、管理機能にアクセスできた

1年間にわたる母親の車両追跡

  • 研究者は家族の車両(2023 Subaru Impreza)の実際の位置履歴にアクセスし、過去1年間でエンジンをかけた、またはリモートでコマンドを送った時点ごとに保存された座標をすべて照会した
  • 約1,600件の位置履歴が露出しており、精度は最大で5m単位と詳細だった

1年分のSubaru位置情報の可視化

  • 1年分の座標を集めて地図に表示すると、非常に具体的な移動経路全体が明らかになった
  • ユーザー(研究者の母親)がSTARLINK利用規約に同意することで収集された情報だったが、セキュリティ脆弱性によって外部者が任意に閲覧できる危険性が確認された

友人の車両の解錠

  • 別のユーザーのナンバープレート情報を入力して車両を検索した後、管理パネルで自分のアカウントを「Authorized User」として追加した
  • その後、リモート解錠コマンドを実行し、実際に車両が解錠されることを動画で確認した
  • 被害者にはアカウント追加や車両制御の事実について通知は届かなかった

タイムライン

  • 2024年11月20日 11:54 PM CST: SecOpsメールアドレスへ初回報告を実施
  • 2024年11月21日 7:40 AM CST: Subaruチームから最初の返答を受信
  • 2024年11月21日 4:00 PM CST: 脆弱性の修正完了後、再現不能状態を確認
  • 2025年1月23日 6:00 AM CST: ブログ記事を公開

追加内容(Addendum)

  • セキュリティ専門家の立場では、パスワードリセットや2FA回避といった脆弱性自体は珍しくないが、自動車メーカーのシステムにおける影響範囲と機微情報の露出規模は非常に大きい
  • 自動車業界の特性上、ある地域の社員が海外の車両情報や個人情報を照会しても通常業務と見なされうるため、セキュリティは難しく感じられる
  • 基本的に社員へ広範な権限を与える構造であるため、根本的なセキュリティを維持するのは容易ではなさそうだ

関連記事

3件のコメント

 
crawler 2025-01-24

面白いですね

  • サブドメインスキャナーで管理者ページを発見
  • 管理者ページで総当たりしてパスワードリセットAPIを発見
  • 管理者ページで総当たりしてメールアドレスの存在有無を確認できるAPIを発見

そして最も重要な2FA回避が本文には出てきませんでしたが、クライアントのWebページの
> //$('#securityQuestionModal').modal('show');

これをコメントアウトしてあることで回避できたそうです(笑)。本当に衝撃的ですね
セキュリティはあまり詳しくありませんが、命が懸かっている自動車会社にしてはあまりにもひどすぎませんか
 
crawler 2025-01-24

すみません、今見ると 2FA の迂回は本文にもありましたね。それでも、コード1行をコメントアウトしただけで迂回できたのはあまりにも衝撃的でした
 
GN⁺ 2025-01-24
Hacker Newsの意見

  • Subaru、Starlink、および関連パートナーには、車両を遠隔で追跡・無効化できるシステムがある

    • このシステムにより、法執行機関が車両を追跡できる
    • STARLINKへの加入時に、このようなデータ収集に同意したことになっているようだ

  • Subaruの個人情報の収集と利用に関する「知る権利」請求の結果

    • Subaruはさまざまな個人情報を収集し、販売できる
    • 収集された情報は、サービス提供、マーケティング、法的義務の順守のために使用される
    • 情報はサービス提供者、請負業者、小売業者などと共有される

  • Subaruのコネクテッドサービス開発チームとの経験

    • チーム内には縁故主義と助言を聞かない文化がある
    • システムが動いていること自体が驚き

  • Starlink Webアプリのセキュリティ問題

    • 二要素認証を回避できるコードが存在する
    • ハッカーがStarlink社員のアカウントをハッキングしてアクセスしたのは、倫理的ハッキングの境界を越えている

  • インターネット接続された車両の必要性への疑問

    • すべての移動データが記録され、配布されうる
    • これについては明確な同意手続きが必要だ

  • 2013年式Outbackモデルと最新のSubaru車の比較

    • 最新モデルのユーザーインターフェースは使いにくく、性能も劣る
    • 電子制御ステアリングとターボラグが問題だ
    • 今後は競争力のあるEVまたはハイブリッドモデルが必要

  • Subaruオーナー向けの情報

    • 米国内であればどこからでもデータ削除を請求できる
    • 約6か月かかり、確認メールが送られる

  • Starlink経由のリモート始動の可能性

    • コマンドラインを通じて車両を遠隔始動できるのかという質問
    • Starlinkのほうがリモート始動システムより安価かもしれない

  • 車両は常時オンラインのコンピューターのようなものだという点

    • ソフトウェアがユーザーの制御なしに動作し、セキュリティ脆弱性が存在する

  • 遠隔の「停止」機能が走行中の車両を止められるのではないかという懸念

    • 基本的な脆弱性を通じて、道路上のすべての車両を停止させられる可能性への懸念