Meretas dan Mengendalikan Kendaraan Subaru melalui Panel Admin STARLINK

• Pada 20 November 2024, ditemukan kerentanan pada layanan kendaraan terhubung STARLINK milik Subaru yang memungkinkan akses tanpa batas ke kendaraan dan akun pelanggan di Amerika Serikat, Kanada, dan Jepang
• Penyerang hanya perlu mengetahui nama dan kode pos korban (atau email, nomor telepon, pelat nomor kendaraan) untuk dapat mengendalikan kendaraan dari jarak jauh, melihat data lokasi selama 1 tahun terakhir, mengakses informasi pribadi pelanggan (alamat, sebagian informasi pembayaran, dll.), serta memperoleh PIN kendaraan
• Dalam 24 jam setelah pelaporan, kerentanan tersebut telah ditambal, dan tidak ada kasus penyalahgunaan yang ditemukan

Pendahuluan

• Pada 20 November 2024, peneliti menemukan kerentanan keamanan pada layanan Subaru STARLINK dan memastikan bahwa seluruh kendaraan dapat dikendalikan dari jarak jauh serta dilacak lokasinya
• Hanya dengan informasi pelanggan sederhana (nama/kode pos, email, nomor telepon, pelat nomor, dll.), hak akses seperti menyalakan mesin dari jarak jauh, membuka dan mengunci pintu, serta melacak lokasi kendaraan secara akurat dapat disalahgunakan
• Masalah ini diperbaiki dengan cepat setelah dilaporkan

Proof of Concept

• Demonstrasi dilakukan dengan mengambil alih kendaraan Subaru hanya dalam sekitar 10 detik menggunakan pelat nomor saja, lalu menampilkan riwayat lokasi selama 1 tahun
• Sebagai contoh nyata, digunakan 1.600 titik koordinat lokasi dari Subaru Impreza model tahun 2023

Analisis Kerentanan

Audit MySubaru Mobile App

• Peneliti mula-mula menganalisis aplikasi MySubaru dengan reverse proxy (Burp Suite), tetapi keamanan aplikasi itu sendiri tersusun dengan baik sehingga tidak ditemukan kerentanan serangan langsung
• Tidak banyak endpoint API yang berguna bagi penyerang, dan verifikasi otorisasi juga diterapkan dengan ketat

Menemukan Panel Admin Subaru

• Saat menganalisis domain yang digunakan aplikasi MySubaru, ditemukan mys.prod.subarucs.com
• Melalui pemindaian domain yang sama, ditemukan panel admin internal bernama “STARLINK Admin Portal”
• Mengetahui bahwa Subaru STARLINK adalah layanan yang menangani kendali kendaraan jarak jauh dan fungsi serupa, peneliti lalu memusatkan pencarian pada kerentanan panel ini

Pengambilalihan Akun Arbitrer di Subaru STARLINK Admin Portal

• Pada file JavaScript (login.js) yang teridentifikasi di halaman login panel, terdapat endpoint bernama resetPassword.json
• Melalui endpoint tersebut, jika mengetahui alamat email yang valid, kata sandi akun dapat di-reset tanpa token verifikasi tambahan
• Dengan menelusuri pola email karyawan Subaru lewat LinkedIn dan sumber lain, peneliti berhasil memasukkan email karyawan nyata dan mengambil alih akun secara arbitrer

Melewati 2FA

• Saat login menggunakan akun yang diambil alih, 2FA memang diaktifkan, tetapi ini hanya merupakan fungsi pada level UI
• Dengan memberi komentar pada kode JavaScript sisi klien untuk menghilangkan overlay, 2FA dapat dinonaktifkan
• Di sisi server, status 2FA tidak diverifikasi dengan benar sehingga fitur admin tetap dapat diakses

Melacak Kendaraan Ibu Selama 1 Tahun

• Peneliti mengakses riwayat lokasi nyata kendaraan keluarga (2023 Subaru Impreza), lalu mengambil seluruh koordinat yang tersimpan setiap kali mesin dinyalakan atau perintah jarak jauh dikirim selama 1 tahun terakhir
• Sekitar 1.600 riwayat lokasi terekspos, dengan akurasi detail hingga 5 meter

Visualisasi Data Lokasi Subaru Selama 1 Tahun

• Setelah koordinat selama 1 tahun dikumpulkan dan ditampilkan di peta, seluruh rute perjalanan yang sangat rinci menjadi terlihat
• Informasi tersebut memang dikumpulkan ketika pengguna (ibu peneliti) menyetujui syarat penggunaan STARLINK, tetapi kerentanan keamanan ini membuktikan adanya risiko bahwa pihak luar dapat melihatnya secara sewenang-wenang

Membuka Kunci Kendaraan Teman

• Dengan memasukkan informasi pelat nomor pengguna lain untuk mencari kendaraan, peneliti kemudian menambahkan akunnya sendiri sebagai ‘Authorized User’ di panel admin
• Setelah itu, perintah membuka pintu dari jarak jauh dijalankan, dan kendaraan benar-benar terbuka sebagaimana dikonfirmasi melalui video
• Korban tidak menerima notifikasi tentang penambahan akun maupun pengendalian kendaraan tersebut

Linimasa

• 20 November 2024 11:54 PM CST: Laporan awal dikirim melalui email SecOps
• 21 November 2024 7:40 AM CST: Tanggapan pertama diterima dari tim Subaru
• 21 November 2024 4:00 PM CST: Perbaikan kerentanan selesai dan dipastikan tidak lagi dapat direproduksi
• 23 Januari 2025 6:00 AM CST: Artikel blog dipublikasikan

Tambahan

• Dari sudut pandang profesional keamanan, kerentanan seperti reset kata sandi dan bypass 2FA sendiri cukup umum, tetapi cakupan dampak dan skala paparan informasi sensitif pada sistem produsen mobil sangat besar
• Karena karakteristik industri otomotif, meskipun karyawan di satu wilayah melihat informasi kendaraan atau data pribadi dari luar negeri, hal itu bisa saja dianggap aktivitas kerja normal, sehingga keamanan terasa lebih sulit
• Pada dasarnya, karena strukturnya memberi karyawan hak akses yang luas, menjaga keamanan mendasar tampak tidak mudah