Des chercheurs en sécurité ont découvert une faille arbitraire de prise de contrôle de compte dans le service Starlink de Subaru qui pourrait permettre aux attaquants de suivre, contrôler et détourner des véhicules aux États-Unis, au Canada et au Japon en utilisant simplement une plaque d’immatriculation.

Le chasseur de primes Bug Sam Curry a révélé jeudi que la vulnérabilité avait été découverte le 20 novembre 2024, avec l’aide du chercheur Shubham Shah.

Ils ont découvert que la faille de sécurité donnait aux attaquants potentiels un accès ciblé illimité à tous les comptes et véhicules des clients américains, canadiens et japonais. Les seules exigences étaient la connaissance préalable du nom de famille et du code postal de la victime, de son adresse électronique, de son numéro de téléphone ou de sa plaque d’immatriculation.

Entre autres choses, une exploitation réussie aurait pu permettre aux pirates informatiques ciblant les clients Subaru de:

  • Démarrez, arrêtez, verrouillez, déverrouillez et récupérez à distance l’emplacement actuel de n’importe quel véhicule.
  • Récupérez l’historique de localisation de tout véhicule de l’année écoulée (précis à moins de 5 mètres et mis à jour chaque fois que le moteur démarre).
  • Interroger et récupérer les informations personnelles identifiables (PII) de tout client, y compris les contacts d’urgence, les utilisateurs autorisés, l’adresse physique, les informations de facturation (par exemple, les quatre derniers chiffres des cartes de crédit, à l’exclusion du numéro de carte complet) et le code PIN du véhicule.
  • Accédez à diverses données utilisateur, y compris l’historique des appels d’assistance, les propriétaires précédents, la lecture du compteur kilométrique, l’historique des ventes, etc.

Curry a également partagé une vidéo démontrant comment la vulnérabilité Starlink pouvait être exploitée pour obtenir plus d’un an de données de localisation pour une voiture Subaru en seulement 10 secondes.

Comme le chercheur l’a découvert, le portail d’administration de Subaru Starlink contenait une faille arbitraire de prise de contrôle de compte découlant d’un « Mot de passe de réinitialisation.point de terminaison API « json » conçu pour permettre aux employés de Subaru de réinitialiser leurs comptes à l’aide d’un e-mail valide sans jeton de confirmation.

Après avoir repris le compte d’un employé, Curry a également dû contourner une invite d’authentification à deux facteurs (2FA) pour accéder au portail. Cependant, cela a également été facilement contourné en supprimant la superposition côté client de l’interface utilisateur du portail.

« Il y avait une tonne d’autres paramètres. L’un d’eux était une recherche de véhicule qui vous permettait d’interroger le nom de famille et le code postal d’un client, son numéro de téléphone, son adresse e-mail ou son numéro VIN (récupérable via une plaque d’immatriculation) et d’accorder/modifier l’accès à son véhicule », a-t-il déclaré.

« Après avoir cherché et trouvé mon propre véhicule dans le tableau de bord, j’ai confirmé que le tableau de bord d’administration STARLINK devrait avoir accès à à peu près n’importe quelle Subaru aux États-Unis, au Canada et au Japon. »

Les chercheurs ont également testé qu’ils pouvaient effectuer toutes les actions répertoriées sur le portail en utilisant la plaque d’immatriculation de la voiture Subaru d’un ami.

Curry dit que Subaru a corrigé la vulnérabilité dans les 24 heures suivant le rapport des chercheurs et n’a jamais été exploitée par un attaquant.

Un groupe de chercheurs en sécurité, dont Curry, a découvert une faille de sécurité similaire dans le portail des concessionnaires Kia, permettant aux pirates de localiser et de voler des millions de voitures Kia fabriquées depuis 2013 en utilisant uniquement la plaque d’immatriculation du véhicule ciblé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *