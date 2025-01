Een beveiligingslek in een STARLINK-adminpanel van Subaru maakte het mogelijk om bijna alle auto's van de fabrikant in de Verenigde Staten, Canada en Japan over te nemen, zo stellen onderzoekers Sam Curry en Shubham Shah. Subura werd over het probleem ingelicht en kwam binnen 24 uur met een patch. STARLINK biedt allerlei 'connected features', waaronder de mogelijkheid om de auto via een app op afstand te starten, openen of sluiten.

Een kwetsbaarheid in het adminpanel maakte het mogelijk om onbeperkte toegang tot alle voertuigen en klantaccounts in de Verenigde Staten, Canada en Japan te krijgen, aldus Curry. Via de toegang die het beveiligingslek gaf had een aanvaller die alleen de achternaam en postcode van een slachtoffer wist, e-mailadres, telefoonnummer of kentekenbewijs, allerlei acties uitvoeren. Zo was het mogelijk om de auto op afstand te starten, stoppen, vergrendelen, ontgrendelen en de locatie opvragen.

Verder was het mogelijk om de volledige locatiegeschiedenis van elke auto van het afgelopen jaar op vijf meter nauwkeurig op te vragen, alsmede allerlei persoonlijke gegevens van klanten. Het ging onder andere om noodcontacten, geautoriseerde gebruikers, adresgegevens, facturatiegegevens, laatste vier cijfers van creditcard en voertuigpincode.

Curry en Shah ontdekten het probleem nadat ze eerst op subdomeinen van Subura had gezocht. Zo ontdekten ze het STARLINK-adminpanel. Een kwetsbaarheid in de wachtwoordresetfunctie maakte het mogelijk om een wachtwoordreset uit te voeren. De enige vereiste was een geldig e-mailadres van een willekeurige Subura-medewerker dat de onderzoekers op internet vonden. Alleen het opgeven van dit adres was voldoende.

Vervolgens verscheen er een tweefactorauthenticatie (2FA) prompt. Die wisten de onderzoekers op kinderlijk eenvoudige wijze te omzeilen door de client-side overlay te verwijderen. Daarna bleek het adminpanel gewoon toegankelijk. Via het adminpanel lukte het de onderzoekers om zichzelf als geautoriseerde gebruiker aan de Subura van een vriend toe te voegen en die vervolgens via het internet te ontgrendelen.

"De auto-industrie is uniek in dat een 18-jarige medewerker uit Texas de facturatiegegevens van een voertuig in Californië kan opvragen en dat laat niet echt alarmbellen afgaan. Het is onderdeel van hun dagelijkse werk. De medewerkers hebben allemaal toegang tot heel veel persoonlijke informatie en het hele ding is gebaseerd op vertrouwen", aldus Curry. "Het lijkt heel erg lastig om deze systemen echt goed te beveiligen als dergelijke brede toegang standaard zit ingebouwd."