Si vous possédez une voiture moderne Subaru, il y a de fortes chances que vous ayez entendu parler Starlink — la société Suite de services connectés, qui vous permet de contrôler votre voiture via une application ou d’appeler l’assistance routiere à votre emplacement. Ce système possède cependant d’autres fonctionnalités que vous ne connaissez peut-être pas : Stockage de l’historique de localisation de votre voiture au cours de la dernière année, et rendre ces informations disponibles via un panneau d’administration qui jusqu’à récemment était laissé grand ouvert aux pirates .
L’équipe de tests de pénétration Sam Curry et Shubham Shah a découvert une vulnérabilité dans la console d’administrateur de Starlink, qui a permis aux pirates de compromettre les comptes des employés de Subaru et d’obtenir un accès administrateur au système. Grâce à cela, les pirates ont pu suivre les pings de localisation Starlink d’une voiture au cours de l’année dernière, ainsi que les fonctionnalités typiques de l’application Starlink : verrouillage, déverrouillage, géorepérage, etc.
La description de la vulnérabilité implique la lecture d’une grande quantité de JavaScript, mais le vecteur d’attaque lui-même provenait des comptes d’employés de Subaru. Curry et Shah ont trouvé le lien vers le portail d’administration de Starlink via les communications de l’application MySubaru, et ont découvert que les mots de passe des comptes pouvaient être réinitialisés sans confirmation du titulaire du compte. Le duo a déterminé le format des adresses e-mail de Subaru, a forcé brutement le site jusqu’à ce qu’une adresse fonctionne, puis a contourné l’invite de question de sécurité. Avec ce là, ils étaient connectés.
Le panneau d’administration autorisait l’accès à n’importe quelle Subaru aux États-Unis, au Canada ou au Japon. Tout ce qu’il fallait, c’était un NIV, que Curry et Shah pouvaient obtenir à partir des dossiers d’immatriculation à l’aide d’un numéro de plaque d’immatriculation. Cela signifie que n’importe quelle Subaru dans la rue avec une plaque d’immatriculation visible pouvait théoriquement être accessible grâce à cette vulnérabilité.
Bien sûr, en bons white hats, Curry et Shah n’ont pas publié la vulnérabilité avant qu’elle n’ait été corrigée. Le couple a informé Subaru du problème en novembre, et il a été résolu en 24 heures. Pourtant, on ne sait pas quelles autres façons d’accéder au panneau d’administration de Starlink peuvent exister, dont l’entreprise n’a pas encore connaissance, ou Quelles autres suites de voitures connectées rencontrent les mêmes problèmes.
Ce contenu a été traduit automatiquement à partir du texte original. De légères différences résultant de la traduction automatique peuvent apparaître. Pour la version originale, cliquez ici.