Grave vulnerabilità in Subaru STARLINK: accesso completo a veicoli e dati personali

Il 20 novembre 2024, i ricercatori di sicurezza Sam Curry e Shubham Shah hanno scoperto una grave vulnerabilità nel sistema STARLINK di Subaru, utilizzato per la gestione dei veicoli connessi. La falla dava modo a un potenziale attaccante di ottenere un accesso completo ai veicoli e ai dati personali dei clienti in Stati Uniti, Canada e Giappone, utilizzando solo informazioni basilari come il cognome del proprietario o la targa del veicolo.

La vulnerabilità permetteva, di fatto, di controllare da remoto funzioni chiave dei veicoli come l'accensione, lo spegnimento, il blocco e lo sblocco delle portiere, oltre a localizzarne la posizione in tempo reale. Come se ciò non bastasse, era possibile accedere alla cronologia completa degli spostamenti del veicolo dell'ultimo anno con una precisione di 5 metri e consultare dati sensibili degli utenti, tra cui informazioni di fatturazione parziali, contatti d'emergenza e PIN del veicolo.

La falla è stata scoperta durante un test condotto su un'auto di famiglia da Curry, che ha inizialmente analizzato l'app MySubaru senza trovare problemi evidenti. Tuttavia, spostando l'attenzione sui portali aziendali utilizzati dai dipendenti Subaru, i ricercatori hanno individuato un pannello amministrativo del sistema STARLINK con gravi lacune di sicurezza. In particolare, hanno scoperto che era possibile resettare le password degli account aziendali senza necessità di conferma tramite token.

I ricercatori hanno quindi cercato di identificare email valide dei dipendenti Subaru attraverso LinkedIn e sfruttando endpoint pubblicamente accessibili, i ricercatori sono riusciti a prendere il controllo di un account aziendale. Nonostante la presenza di un sistema di autenticazione a due fattori, è stato possibile aggirarlo rimuovendo una semplice protezione lato client.

Una volta ottenuto l'accesso al pannello amministrativo, i ricercatori hanno dimostrato la gravità della vulnerabilità eseguendo comandi remoti su più veicoli. Hanno anche esportato un anno intero di cronologia delle posizioni da una Subaru Impreza del 2023 (l'automobile acquistata dalla madre di Curry) per visualizzarla su una mappa. In un ulteriore test, hanno aggiunto se stessi come utenti autorizzati su un altro veicolo utilizzando solo la targa e il codice postale del proprietario.

I due ricercatori hanno immediatamente informato Subaru circa le loro scoperte: la comunicazion è avvenuta il 20 novembre 2024 e l'azienda ha risposto tempestivamente correggendo il problema entro le 16:00 del giorno successivo. Al momento non ci sono prove che la vulnerabilità sia stata sfruttata per scopi malevoli prima della sua risoluzione (anche se è bene sottolineare sempre, in questi casi, che l'assenza della prova non è equivalente alla prova dell'assenza).

Per quanto l'episodio non abbia avuto - almeno apparentemente - conseguenze e, secondo quanto raccontato dai ricercatori, sia risultato essere circoscritto ai mercati di USA, Canada e Giappone, permette di elaborare qualche considerazione riguardante l'aspetto della sicurezza informatica applicata al mondo automobilistico.

L'opera dei ricercatori nell'individuare e approfondire la falla di Subaru STARLINK ha dimostrato come un dipendente possa legalmente accedere a dati sensibili di qualsiasi cliente - posizioni GPS, cronologia degli spostamenti, dettagli di fatturazione - senza che venga attivato alcun meccanismo di allerta: si tratta di una caratteristica deliberata del sistema, poiché le case automobilistiche hanno la necessità di basarsi su infrastrutture dove la condivisione dati orizzontale è necessaria per garantire servizi come il tracciamento da remoto o l'assistenza stradale. Ma anche la manutenzione o la riparazione dei veicoli si appoggia ormai a sistemi informatici in cui gli addetti hanno bisogno di accedere alla cronologia diagnostica dei veicoli per poter risolvere un guasto. Per lo stesso motivo potrebbe presentarsi la necessità di sbloccare un veicolo le cui chiavi non sono rapidamente reperibili e il cui proprietario non è contattabile.

Si tratta quindi di un ambiente in cui per esigenze legittime - e anche pratiche - i permessi e i privilegi di accesso sono distribuiti diffusamente e senza particolare attenzione, dando luogo di fatto ad un ecosistema che non è "secure-by-design" e che viene operato secondo modelli "trust-by-default".

In un contesto di questo tipo l'aspetto della sicurezza travalica i confini delle soluzioni tecnologiche e diventa maggiormente un affare di governance dell'azienda: le case automobilistiche si trovano nella necessità di bilanciare l'efficienza operativa con la privacy degli utenti, in un settore dove storicamente la protezione dei dati è stata subordinata alle esigenze di servizio. Il passaggio, non immediato, è quello verso una filosofia "zero trust" in cui ogni singolo accesso sia verificato, circoscritto e monitorato poiché il vero rischio non è l'hacker esterno, ma l'abuso di privilegi da parte di chi quegli accessi li detiene legalmente.