Hack và kiểm soát xe Subaru thông qua bảng quản trị STARLINK

 (samcurry.net)
2 điểm bởi GN⁺ 2025-01-24 | 3 bình luận | Chia sẻ qua WhatsApp
  • Vào ngày 20 tháng 11 năm 2024, một lỗ hổng đã được phát hiện trong dịch vụ xe kết nối STARLINK của Subaru, cho phép giành quyền truy cập không giới hạn vào xe và tài khoản khách hàng tại Mỹ, Canada và Nhật Bản
  • Chỉ cần biết tên và mã bưu chính của nạn nhân (hoặc email, số điện thoại, biển số xe), kẻ tấn công có thể điều khiển xe từ xa, xem dữ liệu vị trí trong 1 năm trước đó, tra cứu thông tin cá nhân của khách hàng (địa chỉ, một phần thông tin thanh toán, v.v.) và lấy mã PIN của xe
  • Lỗ hổng này đã được vá trong vòng 24 giờ sau khi được báo cáo, và không có trường hợp nào bị khai thác với mục đích xấu

Phần mở đầu

  • Nhà nghiên cứu đã phát hiện lỗ hổng bảo mật trong dịch vụ Subaru STARLINK vào ngày 20 tháng 11 năm 2024 và xác nhận rằng có thể điều khiển từ xa toàn bộ xe cũng như theo dõi vị trí
  • Chỉ với thông tin khách hàng đơn giản (tên/mã bưu chính, email, số điện thoại, biển số xe, v.v.), có thể lạm dụng quyền khởi động xe từ xa, mở khóa và khóa cửa, cũng như theo dõi chính xác vị trí của xe
  • Vấn đề đã được khắc phục nhanh chóng sau khi báo cáo

Proof of Concept

  • Đã trình diễn việc chiếm quyền một chiếc Subaru chỉ trong khoảng 10 giây nếu biết biển số xe, đồng thời tra cứu lịch sử vị trí trong 1 năm
  • Trường hợp minh họa sử dụng 1.600 tọa độ vị trí của một chiếc Subaru Impreza đời 2023 thực tế

Phân tích lỗ hổng

Kiểm tra ứng dụng MySubaru Mobile App

  • Ban đầu nhà nghiên cứu phân tích ứng dụng MySubaru bằng reverse proxy (Burp Suite), nhưng bảo mật của chính ứng dụng này được cấu hình khá tốt nên không tìm thấy lỗ hổng tấn công trực tiếp nào
  • Không có nhiều API endpoint hữu ích cho kẻ tấn công, và việc kiểm tra quyền hạn cũng được thực hiện nghiêm ngặt

Tìm bảng quản trị Subaru Admin Panel

  • Trong quá trình phân tích domain mà ứng dụng MySubaru sử dụng, nhà nghiên cứu phát hiện mys.prod.subarucs.com
  • Khi quét cùng domain đó, họ phát hiện một bảng quản trị nội bộ có tên “STARLINK Admin Portal”
  • Vì biết Subaru STARLINK là dịch vụ phụ trách điều khiển xe từ xa và các chức năng tương tự, nhà nghiên cứu đã tập trung tìm kiếm lỗ hổng trong bảng này

Chiếm quyền tài khoản tùy ý trên Subaru STARLINK Admin Portal

  • Trong file JavaScript (login.js) được thấy ở trang đăng nhập của bảng quản trị, có một endpoint tên resetPassword.json
  • Thông qua endpoint này, chỉ cần xác định được một địa chỉ email hợp lệ là có thể đặt lại mật khẩu tài khoản mà không cần token xác nhận riêng
  • Bằng cách lần theo định dạng email nhân viên Subaru qua LinkedIn và các nguồn tương tự, nhà nghiên cứu đã thử với email nhân viên thực và thành công chiếm quyền tài khoản một cách tùy ý

Vượt qua 2FA

  • Khi đăng nhập bằng tài khoản đã chiếm được, 2FA có được bật nhưng thực chất chỉ là tính năng ở cấp độ UI
  • Chỉ cần comment mã JavaScript phía client để loại bỏ overlay là có thể vô hiệu hóa 2FA
  • Ở phía server, trạng thái 2FA không được kiểm tra đúng cách nên vẫn có thể truy cập các chức năng quản trị

Theo dõi xe của mẹ trong 1 năm

  • Nhà nghiên cứu đã truy cập lịch sử vị trí thực tế của xe gia đình (Subaru Impreza 2023) và xem toàn bộ tọa độ được lưu mỗi khi xe được khởi động hoặc khi có lệnh được gửi từ xa trong suốt 1 năm trước đó
  • Khoảng hơn 1.600 bản ghi vị trí đã bị lộ, với độ chính xác chi tiết tới mức tối đa 5 m

Trực quan hóa dữ liệu vị trí Subaru trong 1 năm

  • Khi gom toàn bộ tọa độ của 1 năm và hiển thị lên bản đồ, toàn bộ lộ trình di chuyển cực kỳ chi tiết đã lộ ra
  • Dù đây là thông tin được thu thập khi người dùng (mẹ của nhà nghiên cứu) đồng ý với điều khoản sử dụng STARLINK, lỗ hổng bảo mật đã cho thấy rủi ro khi người ngoài có thể tùy ý xem dữ liệu này

Mở khóa xe của bạn

  • Nhà nghiên cứu nhập thông tin biển số của một người dùng khác để tìm xe, rồi thêm tài khoản của mình làm ‘Authorized User’ trong bảng quản trị
  • Sau đó, họ thực hiện lệnh mở cửa từ xa và xác nhận qua video rằng chiếc xe thực sự đã được mở khóa
  • Nạn nhân không nhận được bất kỳ thông báo nào về việc tài khoản được thêm vào hay việc xe bị điều khiển

Dòng thời gian

  • 11:54 PM CST ngày 20 tháng 11 năm 2024: gửi báo cáo đầu tiên qua email SecOps
  • 7:40 AM CST ngày 21 tháng 11 năm 2024: nhận phản hồi đầu tiên từ đội Subaru
  • 4:00 PM CST ngày 21 tháng 11 năm 2024: xác nhận lỗ hổng đã được sửa và không còn tái hiện được
  • 6:00 AM CST ngày 23 tháng 1 năm 2025: công khai bài đăng blog

Nội dung bổ sung (Addendum)

  • Dưới góc nhìn của chuyên gia bảo mật, các lỗ hổng như đặt lại mật khẩu và vượt qua 2FA vốn không hiếm, nhưng phạm vi ảnh hưởng và quy mô lộ dữ liệu nhạy cảm trong hệ thống của một hãng xe là cực lớn
  • Do đặc thù ngành ô tô, việc một nhân viên ở một khu vực truy cập dữ liệu xe hoặc thông tin cá nhân ở nước ngoài vẫn có thể được xem là hoạt động công việc bình thường, khiến bài toán bảo mật trở nên khó khăn
  • Về cơ bản, vì hệ thống được thiết kế để cấp quyền rất rộng cho nhân viên, nên có vẻ không dễ để duy trì bảo mật một cách căn bản

Bài viết liên quan

3 bình luận

 
crawler 2025-01-24

Khá thú vị đấy

  • Tìm được trang quản trị bằng trình quét subdomain
  • Dò brute-force trên trang quản trị để tìm ra API đặt lại mật khẩu
  • Dò brute-force trên trang quản trị để tìm ra API có thể xác nhận liệu email có tồn tại hay không

Và điều quan trọng nhất là cách vượt qua 2FA tuy không được nêu trong bài chính, nhưng nghe nói đã bị vượt qua chỉ bằng cách comment dòng này trên trang web phía client:
> //$('#securityQuestionModal').modal('show');

Haha, thật sự quá sốc luôn
Dù tôi không rành lắm về bảo mật, nhưng với một hãng xe nơi tính mạng con người bị đặt lên bàn cân thì thế này có phải là quá nghiêm trọng không?
 
crawler 2025-01-24

Xin lỗi, giờ tôi mới thấy đoạn vượt qua 2FA cũng đã có trong bài rồi. Dù vậy, việc có thể vượt qua chỉ bằng cách comment out một dòng code vẫn khiến tôi quá sốc.
 
GN⁺ 2025-01-24
Ý kiến trên Hacker News

  • Có một hệ thống cho phép Subaru, Starlink và các đối tác liên quan theo dõi và vô hiệu hóa xe từ xa

    • Hệ thống này cho phép cơ quan thực thi pháp luật theo dõi xe
    • Có vẻ như khi đăng ký STARLINK, người dùng đã đồng ý với việc thu thập dữ liệu này

  • Kết quả từ yêu cầu "quyền được biết" về việc Subaru thu thập và sử dụng thông tin cá nhân

    • Subaru có thể thu thập và bán nhiều loại thông tin cá nhân
    • Thông tin thu thập được được sử dụng để cung cấp dịch vụ, tiếp thị và tuân thủ nghĩa vụ pháp lý
    • Thông tin được chia sẻ với nhà cung cấp dịch vụ, nhà thầu, đại lý bán lẻ và các bên khác

  • Trải nghiệm làm việc với đội phát triển dịch vụ kết nối của Subaru

    • Có tình trạng ưu ái người nhà và văn hóa không chịu lắng nghe lời khuyên trong đội
    • Việc hệ thống này vẫn hoạt động được tự nó đã là điều đáng ngạc nhiên

  • Vấn đề bảo mật của web app Starlink

    • Có đoạn mã có thể vượt qua xác thực hai yếu tố
    • Việc hacker chiếm tài khoản của một nhân viên Starlink để truy cập đã vượt qua ranh giới của hacking có đạo đức

  • Nghi vấn về sự cần thiết của các phương tiện luôn kết nối Internet

    • Toàn bộ dữ liệu hành trình có thể bị ghi lại và phân phối
    • Cần có quy trình xin đồng ý rõ ràng cho việc này

  • So sánh mẫu Outback 2013 với các xe Subaru mới nhất

    • Giao diện người dùng của các mẫu mới bất tiện và hiệu năng kém hơn
    • Hệ thống lái điện tử và độ trễ turbo là vấn đề
    • Cần có các mẫu xe điện hoặc hybrid cạnh tranh hơn trong tương lai

  • Thông tin dành cho chủ xe Subaru

    • Có thể yêu cầu xóa dữ liệu ở bất kỳ đâu trong nước Mỹ
    • Mất khoảng 6 tháng và sẽ có email xác nhận được gửi đi

  • Khả năng khởi động xe từ xa qua Starlink

    • Có câu hỏi liệu có thể dùng dòng lệnh để khởi động xe từ xa hay không
    • Starlink có thể rẻ hơn hệ thống khởi động từ xa

  • Xe hơi giống như một máy tính luôn trực tuyến

    • Phần mềm hoạt động mà không có sự kiểm soát của người dùng và tồn tại lỗ hổng bảo mật

  • Lo ngại về việc tính năng 'dừng' từ xa có thể làm xe đang chạy phải dừng lại hay không

    • Lo sợ rằng một lỗ hổng cơ bản có thể khiến mọi chiếc xe trên đường bị dừng lại