แฮ็กและควบคุมรถ Subaru ผ่านแผงผู้ดูแลระบบ STARLINK

 (samcurry.net)
2 คะแนน โดย GN⁺ 2025-01-24 | 3 ความคิดเห็น | แชร์ทาง WhatsApp
  • เมื่อวันที่ 20 พฤศจิกายน 2024 มีการค้นพบช่องโหว่ในบริการรถเชื่อมต่อ STARLINK ของ Subaru ที่ทำให้สามารถเข้าถึงรถและบัญชีลูกค้าในสหรัฐฯ แคนาดา และญี่ปุ่นได้โดยแทบไม่มีข้อจำกัด
  • ผู้โจมตีเพียงรู้ชื่อและรหัสไปรษณีย์ของเหยื่อ (หรืออีเมล หมายเลขโทรศัพท์ หรือป้ายทะเบียนรถ) ก็สามารถควบคุมรถจากระยะไกล ดูข้อมูลตำแหน่งย้อนหลัง 1 ปี ตรวจสอบข้อมูลส่วนบุคคลของลูกค้า (เช่น ที่อยู่และข้อมูลการชำระเงินบางส่วน) รวมถึงได้มาซึ่ง PIN ของรถ
  • หลังการแจ้งรายงาน ช่องโหว่นี้ถูกแพตช์ภายใน 24 ชั่วโมง และไม่พบกรณีถูกนำไปใช้ในทางประสงค์ร้าย

บทนำ

  • นักวิจัยค้นพบช่องโหว่ด้านความปลอดภัยในบริการ Subaru STARLINK เมื่อวันที่ 20 พฤศจิกายน 2024 และยืนยันได้ว่าสามารถควบคุมรถจากระยะไกลและติดตามตำแหน่งได้ทั้งหมด
  • เพียงข้อมูลลูกค้าอย่างง่าย (ชื่อ/รหัสไปรษณีย์, อีเมล, หมายเลขโทรศัพท์, ป้ายทะเบียน ฯลฯ) ก็อาจถูกนำไปใช้ในทางมิชอบเพื่อสั่งสตาร์ทรถจากระยะไกล เปิดและล็อกรถ รวมถึงติดตามตำแหน่งรถอย่างแม่นยำได้
  • ปัญหานี้ได้รับการแก้ไขอย่างรวดเร็วหลังการแจ้งรายงาน

Proof of Concept

  • มีการสาธิตว่าสามารถยึดการควบคุมรถ Subaru และดูประวัติตำแหน่งย้อนหลัง 1 ปีได้ภายในราว 10 วินาที หากรู้เพียงป้ายทะเบียน
  • ใช้พิกัดตำแหน่งจริง 1,600 จุดของ Subaru Impreza รุ่นปี 2023 เป็นกรณีตัวอย่าง

การวิเคราะห์ช่องโหว่

การตรวจสอบ MySubaru Mobile App (Auditing)

  • ตอนแรกนักวิจัยวิเคราะห์แอป MySubaru ผ่าน reverse proxy (Burp Suite) แต่ไม่พบช่องโหว่ที่ใช้โจมตีได้โดยตรง เพราะตัวแอปเองมีการตั้งค่าความปลอดภัยค่อนข้างดี
  • มี API endpoint สำหรับผู้โจมตีไม่มาก และการตรวจสอบสิทธิ์ก็ทำอย่างเข้มงวด

การค้นหา Subaru Admin Panel

  • ระหว่างวิเคราะห์โดเมนที่แอป MySubaru ใช้งาน นักวิจัยพบ mys.prod.subarucs.com
  • จากการสแกนโดเมนเดียวกันเพิ่มเติม จึงพบแผงผู้ดูแลระบบภายในชื่อ “STARLINK Admin Portal”
  • เมื่อทราบว่า Subaru STARLINK เป็นบริการที่รับผิดชอบการควบคุมรถจากระยะไกลและฟังก์ชันอื่น ๆ จึงมุ่งสำรวจช่องโหว่ของแผงนี้เป็นพิเศษ

การยึดบัญชีตามอำเภอใจใน Subaru STARLINK Admin Portal

  • ในไฟล์ JavaScript (login.js) ที่ตรวจสอบจากหน้าเข้าสู่ระบบของแผง มี endpoint ชื่อ resetPassword.json
  • ผ่าน endpoint นี้ หากรู้เพียงอีเมลที่ใช้งานได้ ก็สามารถรีเซ็ตรหัสผ่านบัญชีได้โดยไม่ต้องมีโทเค็นยืนยันเพิ่มเติม
  • นักวิจัยติดตามรูปแบบอีเมลพนักงาน Subaru จาก LinkedIn และแหล่งอื่น ๆ แล้วทดลองใส่อีเมลพนักงานจริง จนสามารถยึดบัญชีได้สำเร็จ

การข้าม 2FA

  • เมื่อล็อกอินด้วยบัญชีที่ยึดมาได้ พบว่ามีการตั้งค่า 2FA ไว้ แต่เป็นเพียงฟังก์ชันในระดับ UI
  • เมื่อนำโค้ด JavaScript ฝั่งไคลเอนต์ไปคอมเมนต์เพื่อเอา overlay ออก ก็สามารถทำให้ 2FA ใช้งานไม่ได้
  • ฝั่งเซิร์ฟเวอร์ไม่ได้ตรวจสอบสถานะ 2FA อย่างถูกต้อง จึงเข้าถึงฟังก์ชันผู้ดูแลระบบได้

ติดตามรถของแม่ย้อนหลัง 1 ปี

  • นักวิจัยเข้าถึงประวัติตำแหน่งจริงของรถครอบครัว (2023 Subaru Impreza) และดูพิกัดทั้งหมดที่ถูกบันทึกไว้ทุกครั้งที่มีการสตาร์ทรถหรือส่งคำสั่งจากระยะไกลในช่วง 1 ปีที่ผ่านมา
  • มีประวัติตำแหน่งรั่วไหลราว 1,600 รายการ และมีความแม่นยำละเอียดได้ถึงระดับ 5 เมตร

การทำภาพข้อมูลตำแหน่ง Subaru ย้อนหลัง 1 ปี

  • เมื่อนำพิกัดตลอด 1 ปีมาวางบนแผนที่ ก็เผยให้เห็นเส้นทางการเดินทางทั้งหมดอย่างละเอียดมาก
  • แม้ข้อมูลนี้จะถูกรวบรวมหลังจากผู้ใช้ (แม่ของนักวิจัย) ยอมรับเงื่อนไขการใช้งาน STARLINK แต่ก็ยืนยันถึงความเสี่ยงที่คนนอกสามารถเปิดดูได้ตามอำเภอใจจากช่องโหว่ด้านความปลอดภัย

ปลดล็อกรถของเพื่อน

  • นักวิจัยป้อนข้อมูลป้ายทะเบียนของผู้ใช้รายอื่นเพื่อค้นหารถ จากนั้นเพิ่มบัญชีของตนเองเป็น ‘Authorized User’ ในแผงผู้ดูแลระบบ
  • หลังจากนั้นจึงสั่งเปิดประตูรถจากระยะไกล และยืนยันผ่านวิดีโอว่ารถถูกปลดล็อกจริง
  • ผู้เสียหายไม่ได้รับการแจ้งเตือนใด ๆ เกี่ยวกับการเพิ่มบัญชีหรือการควบคุมรถ

ไทม์ไลน์

  • 20 พฤศจิกายน 2024 11:54 PM CST: แจ้งรายงานครั้งแรกผ่านอีเมล SecOps
  • 21 พฤศจิกายน 2024 7:40 AM CST: ได้รับการตอบกลับครั้งแรกจากทีม Subaru
  • 21 พฤศจิกายน 2024 4:00 PM CST: ยืนยันว่าแก้ไขช่องโหว่เสร็จสิ้นและไม่สามารถทำซ้ำได้อีก
  • 23 มกราคม 2025 6:00 AM CST: เผยแพร่บทความบล็อก

เนื้อหาเพิ่มเติม (Addendum)

  • ในมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย ช่องโหว่อย่างการรีเซ็ตรหัสผ่านและการข้าม 2FA อาจพบได้บ่อย แต่ขอบเขตผลกระทบและขนาดของการเปิดเผยข้อมูลอ่อนไหวในระบบของผู้ผลิตรถยนต์นั้นใหญ่มาก
  • ด้วยลักษณะเฉพาะของอุตสาหกรรมยานยนต์ แม้พนักงานในภูมิภาคหนึ่งจะดูข้อมูลรถหรือข้อมูลส่วนบุคคลจากต่างประเทศ ก็อาจถูกมองว่าเป็นงานปกติ ทำให้การรักษาความปลอดภัยยิ่งท้าทาย
  • โดยพื้นฐานแล้ว โครงสร้างที่ให้สิทธิ์กว้างขวางแก่พนักงานทำให้การคงความปลอดภัยในระดับรากฐานเป็นเรื่องไม่ง่าย

บทความที่เกี่ยวข้อง

3 ความคิดเห็น

 
crawler 2025-01-24

น่าสนใจดีนะ

  • ใช้ subdomain scanner หาหน้าแอดมินเจอ
  • brute force ที่หน้าแอดมินจนเจอ password reset api
  • brute force ที่หน้าแอดมินจนเจอ api ที่ใช้ตรวจสอบได้ว่าอีเมลมีอยู่หรือไม่

แล้วที่สำคัญที่สุดคือการ bypass 2FA ซึ่งในเนื้อหาหลักไม่ได้พูดถึง แต่บอกว่าข้ามได้ด้วยการคอมเมนต์ทิ้งไว้ในหน้าเว็บฝั่งไคลเอนต์ว่า
> //$('#securityQuestionModal').modal('show');

คือ bypass ได้ด้วยแบบนี้เลย 555 ช็อกจริง ๆ
ถึงจะไม่ค่อยรู้เรื่องความปลอดภัยมากนัก แต่สำหรับบริษัทรถยนต์ที่มีชีวิตคนเป็นเดิมพัน มันหนักไปหน่อยไหม
 
crawler 2025-01-24

ขออภัยครับ ตอนนี้เพิ่งเห็นว่ามีการข้าม 2FA อยู่ในเนื้อหาด้วย ถึงอย่างนั้นการที่ข้ามได้เพียงแค่คอมเมนต์โค้ดออกหนึ่งบรรทัดก็ยังน่าตกใจมากอยู่ดี
 
GN⁺ 2025-01-24
ความเห็นจาก Hacker News

  • มีระบบที่ทำให้ Subaru, Starlink และพาร์ตเนอร์ที่เกี่ยวข้องสามารถติดตามและปิดการใช้งานรถจากระยะไกลได้

    • ระบบนี้ทำให้หน่วยงานบังคับใช้กฎหมายสามารถติดตามรถได้
    • ดูเหมือนว่าเมื่อสมัครใช้ STARLINK จะถือว่ายินยอมต่อการเก็บข้อมูลดังกล่าว

  • ผลลัพธ์จากคำขอ "สิทธิในการรับรู้" เกี่ยวกับการเก็บและใช้ข้อมูลส่วนบุคคลของ Subaru

    • Subaru สามารถเก็บรวบรวมและขายข้อมูลส่วนบุคคลได้หลากหลายประเภท
    • ข้อมูลที่เก็บรวบรวมถูกใช้เพื่อให้บริการ การตลาด และการปฏิบัติตามภาระผูกพันทางกฎหมาย
    • ข้อมูลถูกแชร์กับผู้ให้บริการ ผู้รับจ้าง ร้านค้าปลีก และอื่น ๆ

  • ประสบการณ์กับทีมพัฒนาบริการเชื่อมต่อของ Subaru

    • มีวัฒนธรรมเล่นพรรคเล่นพวกและไม่รับฟังคำแนะนำภายในทีม
    • น่าแปลกที่ระบบยังทำงานได้อยู่

  • ปัญหาความปลอดภัยของเว็บแอป Starlink

    • มีโค้ดที่สามารถข้ามการยืนยันตัวตนแบบ 2 ขั้นตอนได้
    • การที่แฮ็กเกอร์เจาะบัญชีของพนักงาน Starlink เพื่อเข้าถึงระบบนั้นถือว่าก้าวข้ามขอบเขตของ ethical hacking

  • ตั้งคำถามถึงความจำเป็นของรถที่เชื่อมต่ออินเทอร์เน็ต

    • ข้อมูลการเดินทางทั้งหมดอาจถูกบันทึกและเผยแพร่ได้
    • ควรมีกระบวนการขอความยินยอมที่ชัดเจนสำหรับเรื่องนี้

  • เปรียบเทียบ Outback รุ่นปี 2013 กับรถ Subaru รุ่นล่าสุด

    • อินเทอร์เฟซผู้ใช้ของรุ่นใหม่ใช้งานยากและประสิทธิภาพแย่กว่า
    • ระบบบังคับเลี้ยวไฟฟ้าและอาการเทอร์โบรอรอบเป็นปัญหา
    • ในอนาคตจำเป็นต้องมีรถ EV หรือไฮบริดที่แข่งขันได้

  • ข้อมูลสำหรับเจ้าของ Subaru

    • สามารถขอให้ลบข้อมูลได้จากที่ใดก็ได้ภายในสหรัฐฯ
    • ใช้เวลาประมาณ 6 เดือน และจะมีการส่งอีเมลยืนยัน

  • ความเป็นไปได้ของการสตาร์ตรถจากระยะไกลผ่าน Starlink

    • มีคำถามว่าสามารถสตาร์ตรถจากระยะไกลผ่าน command line ได้หรือไม่
    • Starlink อาจมีต้นทุนถูกกว่าระบบสตาร์ตรถจากระยะไกล

  • รถเป็นเหมือนคอมพิวเตอร์ที่ออนไลน์อยู่ตลอดเวลา

    • ซอฟต์แวร์ทำงานโดยที่ผู้ใช้ควบคุมไม่ได้ และมีช่องโหว่ด้านความปลอดภัย

  • ความกังวลว่าฟังก์ชัน 'หยุด' จากระยะไกลจะสามารถทำให้รถที่กำลังวิ่งอยู่หยุดได้หรือไม่

    • กังวลถึงความเป็นไปได้ที่ช่องโหว่พื้นฐานอาจทำให้รถทุกคันบนถนนหยุดได้