top of page

Falha no Subaru Starlink permitia que hackers sequestrassem carros nos EUA e Canadá

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 27 de jan.
  • 2 min de leitura

Pesquisadores de segurança descobriram uma falha de tomada de conta arbitrária no serviço Starlink da Subaru, que permitia que hackers rastreassem, controlassem e sequestrassem veículos nos Estados Unidos, Canadá e Japão, usando apenas a placa do carro.


O caçador de recompensas de bugs Sam Curry revelou na última quinta-feira que a vulnerabilidade foi identificada em 20 de novembro de 2024, com a ajuda do pesquisador Shubham Shah.


Eles constataram que a falha de segurança permitia que hackers tivessem acesso irrestrito às contas e veículos de clientes dos Estados Unidos, Canadá e Japão. Para isso, era necessário apenas conhecimento prévio de informações básicas da vítima, como sobrenome e CEP, e-mail, número de telefone ou a placa do veículo.


Entre as ações que poderiam ser realizadas com a exploração bem-sucedida da falha estavam:

  • Ligar, desligar, travar e destravar remotamente qualquer veículo, além de obter sua localização atual.

  • Recuperar o histórico de localização de um veículo do último ano, com precisão de até 5 metros e atualizado toda vez que o motor fosse ligado.

  • Acessar informações pessoais de clientes, como endereço, contatos de emergência, usuários autorizados, informações de cobrança (como os últimos quatro dígitos do cartão de crédito) e PIN do veículo.

  • Consultar dados adicionais, como histórico de chamadas de suporte, proprietários anteriores, leitura do odômetro, histórico de vendas, entre outros.


Curry também compartilhou um vídeo demonstrando como a vulnerabilidade permitia obter mais de um ano de dados de localização de um carro Subaru em apenas 10 segundos.



Segundo o pesquisador, a falha estava em um endpoint da API chamado "resetPassword.json", projetado para que funcionários da Subaru redefinissem suas contas com um e-mail válido, mas sem a necessidade de um token de confirmação.


Depois de assumir a conta de um funcionário, Curry precisou contornar a autenticação de dois fatores (2FA) para acessar o portal. No entanto, isso foi facilmente superado ao remover uma camada de proteção na interface do portal.


"Existiam muitos outros endpoints. Um deles permitia pesquisar o sobrenome e CEP de um cliente, número de telefone, e-mail ou número VIN (recuperável através da placa) e conceder ou modificar o acesso ao veículo", afirmou Curry.


Após realizar testes, os pesquisadores confirmaram que era possível realizar todas essas ações com a placa do carro de um amigo dono de um Subaru.


A Subaru corrigiu a vulnerabilidade em menos de 24 horas após o relatório dos pesquisadores, e não há evidências de que tenha sido explorada por hackers.


Além disso, o grupo de pesquisadores liderado por Curry encontrou uma falha semelhante no portal de revendedores da Kia. Essa falha permitia que hackers localizassem e roubassem milhões de veículos Kia fabricados desde 2013 apenas com a placa do veículo alvo.


Via - BB

 
 
 

Comments


Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page