STARLINK एडमिन पैनल के ज़रिए Subaru वाहनों को हैक और नियंत्रित करना

 (samcurry.net)
2 पॉइंट द्वारा GN⁺ 2025-01-24 | 3 टिप्पणियां | WhatsApp पर शेयर करें
  • 20 नवंबर 2024 को Subaru की STARLINK connected vehicle service में एक ऐसी भेद्यता मिली, जिससे अमेरिका, कनाडा और जापान में वाहनों और ग्राहक खातों तक बिना किसी सीमा के पहुंच हासिल की जा सकती थी
  • हमलावर केवल पीड़ित का नाम और postal code (या email, phone number, vehicle plate number) जानकर वाहन को remotely control कर सकता था, पिछले 1 साल का location data देख सकता था, ग्राहक की personal information (पता, कुछ payment information आदि) प्राप्त कर सकता था, और वाहन PIN भी हासिल कर सकता था
  • रिपोर्ट किए जाने के 24 घंटे के भीतर इस भेद्यता को patch कर दिया गया, और इसके दुर्भावनापूर्ण इस्तेमाल का कोई मामला सामने नहीं आया

परिचय

  • शोधकर्ता ने 20 नवंबर 2024 को Subaru STARLINK service में एक सुरक्षा भेद्यता खोजी और पुष्टि की कि इसके जरिए पूरे वाहन का remote control और location tracking संभव था
  • केवल साधारण ग्राहक जानकारी (नाम/postal code, email, phone number, plate number आदि) से remote start, दरवाजे खोलना और लॉक करना, तथा वाहन की सटीक location tracking जैसी क्षमताओं का दुरुपयोग किया जा सकता था
  • रिपोर्ट के बाद समस्या को जल्दी ही ठीक कर दिया गया

Proof of Concept

  • केवल plate number जानकर लगभग 10 सेकंड में Subaru वाहन पर नियंत्रण हासिल कर 1 साल की location history देखने का डेमो किया गया
  • उदाहरण के तौर पर वास्तविक 2023 Subaru Impreza के 1,600 location coordinates का उपयोग किया गया

भेद्यता विश्लेषण

MySubaru Mobile App का ऑडिट (Auditing)

  • शोधकर्ता ने सबसे पहले MySubaru app का reverse proxy (Burp Suite) से विश्लेषण किया, लेकिन app की अपनी security अच्छी तरह configured होने के कारण कोई सीधी attack vulnerability नहीं मिली
  • हमलावर के लिए उपयोगी API endpoints बहुत कम थे और authorization checks भी कड़े थे

Subaru Admin Panel की खोज

  • MySubaru app द्वारा उपयोग किए जा रहे domain का विश्लेषण करते समय mys.prod.subarucs.com मिला
  • उसी domain को scan करने पर “STARLINK Admin Portal” नाम का एक internal management admin panel मिला
  • यह जानते हुए कि Subaru STARLINK remote vehicle control जैसी सुविधाओं को संभालता है, शोधकर्ता ने इस panel की भेद्यताओं पर ध्यान केंद्रित किया

Subaru STARLINK Admin Portal में मनचाहे account का takeover

  • panel के login page पर मिले JavaScript file (login.js) में resetPassword.json नाम का endpoint था
  • इस endpoint के जरिए केवल valid email address पता होने पर बिना किसी verification token के account password reset किया जा सकता था
  • LinkedIn आदि के माध्यम से Subaru कर्मचारियों के email format का पता लगाकर वास्तविक कर्मचारी email डालने पर account takeover सफल हुआ

2FA बायपास

  • takeover किए गए account से login करने पर 2FA enabled था, लेकिन यह केवल UI स्तर की सुविधा थी
  • client-side JavaScript code को comment out कर overlay हटाने पर 2FA निष्प्रभावी हो गया
  • server side पर 2FA की स्थिति का सही verification नहीं हो रहा था, इसलिए admin functions तक पहुंच संभव थी

1 साल तक मां की कार की tracking

  • शोधकर्ता ने परिवार की कार (2023 Subaru Impreza) की वास्तविक location history तक पहुंचकर पिछले 1 साल में हर उस समय के coordinates देखे, जब वाहन start किया गया था या remotely command भेजी गई थी
  • लगभग 1,600 location records उजागर हुए और उनकी सटीकता अधिकतम 5m तक थी

1 साल के Subaru location data का visualization

  • 1 साल के coordinates को map पर दिखाने से अत्यंत विस्तृत movement path सामने आ गया
  • यह जानकारी उपयोगकर्ता (शोधकर्ता की मां) द्वारा STARLINK terms of service से सहमति देने पर collect की गई थी, लेकिन सुरक्षा भेद्यता के कारण कोई बाहरी व्यक्ति भी इसे मनमाने ढंग से देख सकता था—यह जोखिम स्पष्ट हुआ

दोस्त की कार unlock करना

  • एक अन्य उपयोगकर्ता का plate number डालकर वाहन खोजा गया, फिर admin panel में अपने account को ‘Authorized User’ के रूप में जोड़ दिया गया
  • इसके बाद remote door unlock command चलाया गया, और वीडियो में वास्तविक वाहन के unlock होने की पुष्टि हुई
  • पीड़ित को account addition या vehicle control के बारे में कोई notification नहीं मिला

टाइमलाइन

  • 20 नवंबर 2024 11:54 PM CST: SecOps email पर पहली रिपोर्ट भेजी गई
  • 21 नवंबर 2024 7:40 AM CST: Subaru team से पहला जवाब मिला
  • 21 नवंबर 2024 4:00 PM CST: भेद्यता fix होने के बाद reproduction असंभव होने की पुष्टि हुई
  • 23 जनवरी 2025 6:00 AM CST: ब्लॉग पोस्ट सार्वजनिक की गई

अतिरिक्त सामग्री (Addendum)

  • सुरक्षा विशेषज्ञ के दृष्टिकोण से password reset और 2FA bypass जैसी भेद्यताएं अपने आप में आम हैं, लेकिन ऑटोमोबाइल निर्माता के सिस्टम में इनके प्रभाव का दायरा और sensitive information exposure का स्तर बहुत बड़ा है
  • ऑटो उद्योग की प्रकृति के कारण, किसी एक क्षेत्र का कर्मचारी विदेश के वाहन डेटा या personal information देखे तो भी उसे सामान्य कार्य माना जा सकता है, जिससे security कठिन हो जाती है
  • मूल रूप से कर्मचारियों को व्यापक permissions देने वाली संरचना होने के कारण, बुनियादी security बनाए रखना आसान नहीं दिखता

संबंधित पढ़ाई

3 टिप्पणियां

 
crawler 2025-01-24

काफ़ी दिलचस्प है

  • subdomain scanner से admin page ढूंढ लिया
  • admin page में brute force करके password reset API ढूंढ लिया
  • admin page में brute force करके ऐसा API ढूंढ लिया जिससे पता चल सकता था कि email मौजूद है या नहीं

और सबसे अहम 2FA bypass का ज़िक्र मुख्य लेख में नहीं है, लेकिन कहा गया है कि client web page में
> //$('#securityQuestionModal').modal('show');

को comment out करके bypass हो गया था, lol, सच में काफ़ी चौंकाने वाला है
मुझे security की ज़्यादा समझ नहीं है, लेकिन जिस car company में लोगों की जान दांव पर होती है उसके हिसाब से क्या यह बहुत ज़्यादा गंभीर नहीं है?
 
crawler 2025-01-24

माफ़ कीजिए, अभी देखा तो 2FA bypass मुख्य लेख में भी था। फिर भी, सिर्फ़ code की एक line को comment out करके उसे bypass कर दिया गया — यह मेरे लिए बहुत चौंकाने वाला था।
 
GN⁺ 2025-01-24
Hacker News राय

  • Subaru, Starlink, और संबंधित पार्टनर्स के पास ऐसा सिस्टम है जिससे वे वाहनों को remotely track और disable कर सकते हैं

    • यह सिस्टम law enforcement को वाहनों को track करने की सुविधा देता है
    • ऐसा लगता है कि STARLINK की सदस्यता लेते समय इस तरह के data collection के लिए सहमति दे दी जाती है

  • Subaru के personal information collection और use के बारे में "जानने का अधिकार" अनुरोध का परिणाम

    • Subaru विभिन्न personal information collect और sell कर सकता है
    • collected information का उपयोग service delivery, marketing, और legal obligations के पालन के लिए किया जाता है
    • जानकारी service providers, contractors, retailers आदि के साथ share की जाती है

  • Subaru की connected services development team के साथ अनुभव

    • टीम में भाई-भतीजावाद और सलाह न मानने वाली संस्कृति मौजूद है
    • सिस्टम का चलना ही हैरानी की बात है

  • Starlink web app की security समस्याएँ

    • ऐसा code मौजूद है जो 2-step authentication को bypass कर सकता है
    • किसी hacker द्वारा Starlink कर्मचारी के account को hack करके access लेना ethical hacking की सीमा से बाहर है

  • इंटरनेट से जुड़े वाहनों की आवश्यकता पर सवाल

    • सभी यात्रा data रिकॉर्ड और distribute किए जा सकते हैं
    • इसके लिए स्पष्ट consent process की ज़रूरत है

  • 2013 Outback model और नवीनतम Subaru वाहनों की तुलना

    • नए models का user interface असुविधाजनक है और performance भी कमजोर है
    • electronic steering और turbo lag समस्या हैं
    • आगे चलकर प्रतिस्पर्धी EV या hybrid model की ज़रूरत है

  • Subaru मालिकों के लिए जानकारी

    • अमेरिका में कहीं से भी data deletion request की जा सकती है
    • इसमें लगभग 6 महीने लगते हैं और confirmation email भेजी जाती है

  • Starlink के ज़रिए remote start की संभावना

    • command line के माध्यम से वाहन को remotely start किया जा सकता है या नहीं, इस पर सवाल
    • Starlink, remote start system से सस्ता हो सकता है

  • वाहन हमेशा online रहने वाले कंप्यूटर की तरह हैं

    • software उपयोगकर्ता के नियंत्रण के बिना चलता है और security vulnerabilities मौजूद हैं

  • remote 'stop' feature क्या चलती हुई गाड़ी को रोक सकता है, इस पर चिंता

    • बुनियादी vulnerability के ज़रिए सड़क पर मौजूद सभी वाहनों को रोक देने की संभावना को लेकर चिंता