Thought Leadership
Eine kritische Schwachstelle im Starlink-System von Subaru gewährte uneingeschränkten Zugriff auf Kundenkonten in den USA, Kanada und Japan, wie Sicherheitsforscher Sam Curry berichtet.
Das Starlink-Infotainmentsystem, das Subaru in seinen Fahrzeugen einsetzt, verfügte über Fernzugriffsfunktionen, die über ein Administratorportal gesteuert werden konnten. Curry entdeckte gemeinsam mit Sicherheitsforscher Shubham Shah, dass sich das Admin-Panel auf einer Subdomain von subarucs.com befand. In den JavaScript-Dateien fanden sie heraus, dass Mitarbeiterpasswörter ohne Bestätigungstoken zurückgesetzt werden konnten.
Nach erfolgreicher Identifizierung einer gültigen Mitarbeiter-E-Mail-Adresse konnten die Forscher durch Umgehung der Zwei-Faktor-Authentifizierung vollständigen Zugriff auf das System erlangen. Dies ermöglichte ihnen Einblick in: Fahrzeugdaten inkl. Standorthistorie und Fahrgestellnummer, Kundendaten wie Namen, PLZ, Telefonnummern sowie Abrechnungsinformationen.
Curry zeigte auch ein Video, in dem demonstriert wird, wie die Starlink-Schwachstelle ausgenutzt werden kann, um innerhalb von nur 10 Sekunden mehr als ein Jahr an Standortdaten eines Subaru-Fahrzeugs zu erhalten.
Über das Portal ließen sich Zugriffsrechte für beliebige Fahrzeuge vergeben, ohne dass die Eigentümer benachrichtigt wurden. Ein Angreifer hätte somit die Kontrolle über ein Fahrzeug übernehmen und es ferngesteuert starten, stoppen sowie ver- und entriegeln können.
Subaru reagierte innerhalb von 24 Stunden auf Currys Meldung vom 20. November 2024 und schloss die Sicherheitslücke.
