Una grave vulnerabilità nei sistemi di sicurezza Subaru ha permesso di tracciare, sbloccare e persino avviare milioni di veicoli da remoto. Un anno intero di cronologia delle posizioni era accessibile con una precisione fino a cinque metri.
Il ricercatore di sicurezza Sam Curry ha scoperto la falla nel sistema attraverso un esperimento insolito: acquistare un’auto Subaru per sua madre e provare a “hackerarla”.
Non trovando difetti nell’app mobile MySubaru, Curry ha deciso di esaminare altri strumenti aziendali Subaru, cercando siti web correlati.
Come Curry ha ottenuto l’accesso:
- Applicazioni interne Subaru: un dominio aziendale richiedeva credenziali di accesso, ma un’analisi del codice JavaScript ha rivelato un sistema di reset password insicuro.
- Email aziendali: Curry ha individuato un’email di un dipendente tramite una semplice ricerca online.
- Bypass 2FA: la protezione a due fattori era facilmente aggirabile, poiché il controllo era gestito localmente sul client.
Con questi passaggi, Curry e il suo team hanno ottenuto accesso al pannello amministrativo Subaru.
Tra le molte opzioni disponibili nel pannello, le più allarmanti includevano l’ultima posizione nota: inserendo il cognome e il codice postale, Curry ha localizzato l’auto di sua madre e tracciato tutti i suoi spostamenti dell’ultimo anno.
Era possibile anche il controllo remoto del veicolo: il team ha testato questa funzionalità su un’auto di un’amica di Curry, inviando il comando per sbloccare le porte. Il controllo remoto è stato eseguito con successo, senza che il proprietario ricevesse notifiche sull’aggiunta di utenti non autorizzati.
Curry ha segnalato la vulnerabilità a Subaru, che ha rilasciato una correzione entro 24 ore. La casa automobilistica ha anche confermato che non ci sono prove di utilizzi illeciti precedenti della falla.
Curry ha sottolineato che le tecniche utilizzate per sfruttare la vulnerabilità (come il reset password o il bypass 2FA) non sono nuove. Tuttavia, ciò che preoccupa è la portata dell’impatto e il funzionamento stesso dei sistemi connessi.