Falha no Subaru Starlink permitia que hackers sequestrassem carros nos EUA e Canadá

Pesquisadores de segurança descobriram uma falha de tomada de conta arbitrária no serviço Starlink da Subaru, que permitia que hackers rastreassem, controlassem e sequestrassem veículos nos Estados Unidos, Canadá e Japão, usando apenas a placa do carro.

O caçador de recompensas de bugs Sam Curry revelou na última quinta-feira que a vulnerabilidade foi identificada em 20 de novembro de 2024, com a ajuda do pesquisador Shubham Shah.

Eles constataram que a falha de segurança permitia que hackers tivessem acesso irrestrito às contas e veículos de clientes dos Estados Unidos, Canadá e Japão. Para isso, era necessário apenas conhecimento prévio de informações básicas da vítima, como sobrenome e CEP, e-mail, número de telefone ou a placa do veículo.

Entre as ações que poderiam ser realizadas com a exploração bem-sucedida da falha estavam:

• Ligar, desligar, travar e destravar remotamente qualquer veículo, além de obter sua localização atual.

• Recuperar o histórico de localização de um veículo do último ano, com precisão de até 5 metros e atualizado toda vez que o motor fosse ligado.

• Acessar informações pessoais de clientes, como endereço, contatos de emergência, usuários autorizados, informações de cobrança (como os últimos quatro dígitos do cartão de crédito) e PIN do veículo.

• Consultar dados adicionais, como histórico de chamadas de suporte, proprietários anteriores, leitura do odômetro, histórico de vendas, entre outros.

Curry também compartilhou um vídeo demonstrando como a vulnerabilidade permitia obter mais de um ano de dados de localização de um carro Subaru em apenas 10 segundos.

Segundo o pesquisador, a falha estava em um endpoint da API chamado "resetPassword.json", projetado para que funcionários da Subaru redefinissem suas contas com um e-mail válido, mas sem a necessidade de um token de confirmação.

Depois de assumir a conta de um funcionário, Curry precisou contornar a autenticação de dois fatores (2FA) para acessar o portal. No entanto, isso foi facilmente superado ao remover uma camada de proteção na interface do portal.

"Existiam muitos outros endpoints. Um deles permitia pesquisar o sobrenome e CEP de um cliente, número de telefone, e-mail ou número VIN (recuperável através da placa) e conceder ou modificar o acesso ao veículo", afirmou Curry.

Após realizar testes, os pesquisadores confirmaram que era possível realizar todas essas ações com a placa do carro de um amigo dono de um Subaru.

A Subaru corrigiu a vulnerabilidade em menos de 24 horas após o relatório dos pesquisadores, e não há evidências de que tenha sido explorada por hackers.

Além disso, o grupo de pesquisadores liderado por Curry encontrou uma falha semelhante no portal de revendedores da Kia. Essa falha permitia que hackers localizassem e roubassem milhões de veículos Kia fabricados desde 2013 apenas com a placa do veículo alvo.

Via - BB