
バグバウンティハンターのサム・カリー氏は、セキュリティ研究者のシュバム・シャー氏の協力を得てSUBARUのコネクティッドサービス、SUBARU STARLINKサービスで車両操作が可能になる脆弱性を2024年11月20日に発見したことを発表しました。
なお、発表前に研究者たちはスバルへ脆弱性の報告を行い報告から24時間以内に脆弱性を修正された為、攻撃者に悪用されることはなかったと述べています。
スバルのSUBARU STARLINKへのハッキングの概要
サム・カリー氏は母親に2023年型スバル インプレッサを買ってあげ、ハッキングを試すことを約束しました。
その後サム・カリー氏は、セキュリティ研究者のシュバム・シャー氏の協力を得て、スバル STARLINK の管理ポータルのアカウントを乗っ取りました。
アカウントには2要素認証が設定されていましたが、 UI からクライアント側のオーバーレイを削除することを試みたところ乗っ取りができたとしています。
その後、乗っ取ったアカウントで管理ポータルへログインし、母親の苗字や郵便番号を入力すると過去 1 年間に彼女がエンジンを始動した場所やSTARLINK と通信した場所の正確な座標などが確認できました。
なおSTARLINK 登録時に利用規約の同意をするとこういった情報が収集されることが記載されているため、情報収集について違法性はありません。
過去1年間の移動履歴と座標
日付 | 総走行距離 | 位置 |
---|---|---|
2024年11月21日午後6時18分56秒 | 14472.6 | 41.30136,-96.161142 |
2024年11月21日午前4時59分51秒 | 14472.6 | 41.301402,-96.161134 |
2024年11月21日午前4時49分02秒 | 14472.6 | 41.301286,-96.161145 |
… | … | … |
2023年11月2日午後1時44分24秒 | 6440.6 | 41.256003,-96.080627 |
2023年11月1日午後9時52分47秒 | 6432.5 | 41.301248,-96.159951 |
2023年11月1日午後12時16分02秒 | 6425.2 | 41.259397,-96.078775 |
車両の鍵を解除する
研究者たちは友人に連絡し友人の車をハッキングして、実際に車両全体の乗っ取りを防ぐための前提条件や機能がないことを実証できるか検証しました。
友人は研究者たちへ事前にナンバープレートを送信、研究者たちは彼女の車を管理パネルで表示し、管理画面で承認ユーザーとして研究者たちを追加し、その車へ管理ポータルから送信したコマンドを実行できることを検証しました。
数分待つと、承認ユーザーとして友人のアカウントへ研究者たちのアカウントが正常に作成されたことがわかりました。
友人へ「外を覗いて車に何か起きていないか確認し欲しい」と依頼し、研究者たちは「ロック解除」コマンドを送信しました。
すると、車両のカギのロックが解除された動画が送信されてきました。
承認ユーザーとして追加されても通知がない
研究者たちが友人を承認ユーザーとして追加し、友人の車のロックを解除した後
友人にはテキストメッセージ、または電子メールなどの通知は一切受信しなかったことを確認しており、
車両をハッキングされ鍵を解除しても所有者は検知する事ができません。
ハッキングの要件
車両の位置情報はインターネットに接続されたスバル車であればどれでも取得可能で
車両へのハッキングを行う唯一の要件は、
・姓
・郵便番号
・電子メールアドレス
・電話番号
・ナンバープレートに関する事前知識
だけであり、非常に危険であることが分かります。
繰り返しですが、本脆弱性はすでに修正されていますが様々な方法でサイバー攻撃やハッキングを行うと車両も乗っ取りが可能な事が分かります。