Investigación de vulnerabilidades en Subaru
Curry y Shah informaron sus hallazgos a Subaru a finales de noviembre, y Subaru rápidamente corrigió las fallas de seguridad de su servicio Starlink. Sin embargo, los investigadores advierten que las vulnerabilidades web de Subaru son solo las más recientes en una larga serie de fallas similares que ellos y otros investigadores de seguridad han encontrado y que han afectado a más de una docena de fabricantes de automóviles, incluyendo Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota, entre otros. No hay duda, dicen, de que existen errores igualmente graves que se pueden explotar en las herramientas web de otras compañías automotrices que aún no se han descubierto.
Cuestiones de privacidad y acceso a datos
En el caso de Subaru, en particular, también señalan que su descubrimiento insinúa cuán ampliamente aquellos con acceso al portal de Subaru pueden rastrear los movimientos de sus clientes, un problema de privacidad que perdurará mucho más allá de las vulnerabilidades web que lo expusieron. “El asunto es que, aunque esto se haya corregido, esta funcionalidad seguirá existiendo para los empleados de Subaru,” dice Curry. “Es una funcionalidad normal que un empleado puede utilizar para ver un año completo de tu historial de ubicación.”
Reacción de Subaru y medidas de seguridad
Cuando WIRED se comunicó con Subaru para comentar sobre los hallazgos de Curry y Shah, un portavoz respondió en un comunicado que “después de ser notificados por investigadores de seguridad independientes, [Subaru] descubrió una vulnerabilidad en su servicio Starlink que podría permitir potencialmente a un tercero acceder a cuentas Starlink. La vulnerabilidad se cerró de inmediato y nunca se accedió a la información del cliente sin autorización.” El portavoz de Subaru también confirmó a WIRED que “hay empleados en Subaru of America, según la relevancia de su trabajo, que pueden acceder a los datos de ubicación.” La empresa ofreció como ejemplo que los empleados tienen acceso a compartir la ubicación de un vehículo con los primeros respondedores en caso de detectar una colisión. “Todos estos individuos reciben la capacitación adecuada y se les exige firmar los acuerdos apropiados de privacidad, seguridad y NDA según sea necesario,” agregó la declaración de Subaru. “Estos sistemas cuentan con soluciones de monitoreo de seguridad que están en constante evolución para enfrentar las amenazas cibernéticas modernas.”
Cuestionamientos sobre el historial de ubicaciones
Respondiendo al ejemplo de Subaru sobre notificar a los primeros respondedores acerca de una colisión, Curry señala que eso difícilmente requeriría un historial de ubicación de un año. La empresa no respondió a WIRED preguntando cuán atrás conserva los historiales de ubicación de los clientes y los pone a disposición de los empleados. La investigación de Shah y Curry que los llevó al descubrimiento de las vulnerabilidades de Subaru comenzó cuando encontraron que la aplicación Starlink de la madre de Curry se conectaba al dominio SubaruCS.com, que se dieron cuenta era un dominio administrativo para empleados. Al rastrear ese sitio en busca de fallas de seguridad, encontraron que podían restablecer las contraseñas de los empleados simplemente adivinando su dirección de correo electrónico, lo que les dio la capacidad de tomar el control de cualquier cuenta de empleado cuyo correo electrónico pudieran encontrar. La funcionalidad de restablecimiento de contraseña pedía respuestas a dos preguntas de seguridad, pero encontraron que esas respuestas se comprobaban con código que se ejecutaba localmente en el navegador del usuario, y no en el servidor de Subaru, lo que permitía eludir fácilmente esa salvaguarda. “Realmente hubo múltiples fallas sistémicas que condujeron a esto,” dice Shah.
Los dos investigadores dicen haber encontrado la dirección de correo electrónico de un desarrollador de Starlink de Subaru en LinkedIn, tomaron control de la cuenta del empleado y encontraron de inmediato que podían usar el acceso de ese personal para buscar a cualquier propietario de Subaru por apellido, código postal, dirección de correo electrónico, número de teléfono o matrícula para acceder a sus configuraciones de Starlink. En segundos, podían reasignar el control de las funciones de Starlink del vehículo de ese usuario, incluyendo la capacidad de desbloquear el automóvil a distancia, hacer sonar la bocina, encender el motor o localizarlo, como se muestra en el video a continuación.
Fuente y créditos: www.wired.com
Cats: Security
