スバルのセキュリティ脆弱性により、数百万台の車が遠隔から追跡され、ロックが解除され、始動される可能性がありました。 1 年分の位置履歴が利用可能で、精度は 5 メートル以内でした。
セキュリティ研究者 サム・カリー 彼は母親と異例の契約を結んだ。ハッキングをさせてくれたらスバルを買ってあげるというものだった。
彼はまず MySubaru モバイル アプリの欠陥を探すことから始めましたが、何も見つかりませんでした。しかし、彼はそこで止まりませんでした。
自動車会社での過去の経験から、顧客向けアプリよりも広範な権限を持つ従業員向けアプリケーションが公的にアクセスできる可能性があることを私は知っていました。それを念頭に置いて、私は焦点を変えることにし、テストする他のスバル関連の Web サイトを探し始めました。
友人は彼が有望そうなサブドメインを見つけるのを手伝ってくれました。もちろん従業員のログインが必要でしたが、JavaScript ディレクトリを調べてみると、安全でないパスワード リセット コードが見つかりました。そのとき必要なのは、有効な従業員の電子メール アドレスだけでした。それは、簡単な Web 検索で見つかりました。パスワードをリセットすると、ログインできるようになりました。
残った 1 つの障壁は 2FA 保護でしたが、クライアント側で実行され、ローカルで削除できるため、これを破るのは簡単であることが判明しました。その時点で彼らは入っていました。
左側のナビゲーションバーにはさまざまな機能がたくさんありましたが、最も魅力的だったのは「最後に確認された場所」です。私は母の姓と郵便番号を入力しました。彼女の車が検索結果に表示されました。私はそれをクリックすると、母が昨年旅行したあらゆる場所を見ました。
Starlink がインストールされているスバルを遠隔操作することもできるようで、友人の車をターゲットにする許可を得てこれをテストしました。
彼女は私たちにナンバープレートを送り、私たちは管理パネルで彼女の車を引き上げ、そして最後に私たち自身も彼女の車に乗り込みました。数分待った後、アカウントが正常に作成されたことがわかりました。
アクセスできるようになったので、外を覗いて車に何か起こっていないか確認してもらえないかと尋ねました。 「ロック解除」コマンドを送信しました。その後、彼らはこのビデオを私たちに送ってくれました。
彼らは車を制御できただけでなく、その所有者は、許可されたユーザーが自分のアカウントに追加されたというメッセージさえ受け取りませんでした。
カリー氏はスバルに報告書を送り、同社は翌日までに問題を修正し、他に誰かがアクセスした形跡がないことも確認した。
おそらくこの話で最も懸念すべき部分は、カリー氏の結論だ。セキュリティ業界の他の人々を驚かせるような内容だとは思っていなかったため、投稿を書くことさえ困難だったというものだ。
このブログの読者のほとんどはすでにセキュリティの分野で働いているため、実際のパスワード リセットや 2FA バイパス手法は誰にとっても目新しいものではないと思います。私が共有する価値があると感じた部分は、バグ自体の影響と、コネクテッド カー システムが実際にどのように機能するかでした。
自動車業界は、テキサス州の 18 歳の従業員がカリフォルニア州の車両の請求情報を照会できるという点で独特ですが、実際には警鐘を鳴らすものではありません。それは彼らの通常の日常業務の一部です。従業員全員が大量の個人情報にアクセスでき、すべては信頼に依存しています。
このような広範なアクセスがデフォルトでシステムに組み込まれている場合、これらのシステムを実際にセキュリティで保護することは非常に難しいように思えます。
FTC: 当社は収入を得る自動アフィリエイト リンクを使用しています。 もっと。
