La investigación de Shah y Curry que los llevó al descubrimiento de las vulnerabilidades de Subaru comenzó cuando descubrieron que la aplicación Starlink de la madre de Curry se conectaba al dominio SubaruCS.com, que se dieron cuenta de que era un dominio administrativo para los empleados. Al explorar ese sitio en busca de fallas de seguridad, descubrieron que podían restablecer las contraseñas de los empleados simplemente adivinando su dirección de correo electrónico, lo que les daba la posibilidad de hacerse cargo de la cuenta de cualquier empleado cuyo correo electrónico pudieran encontrar. La funcionalidad de restablecimiento de contraseña solicitó respuestas a dos preguntas de seguridad, pero descubrieron que esas respuestas se verificaban con un código que se ejecutaba localmente en el navegador de un usuario, no en el servidor de Subaru, lo que permitía eludir fácilmente la protección. “En realidad, hubo múltiples fallas sistémicas que llevaron a esto”, dice Shah.
Los dos investigadores dicen que encontraron la dirección de correo electrónico de un desarrollador de Subaru Starlink en LinkedIn, se hicieron cargo de la cuenta del empleado e inmediatamente descubrieron que podían usar el acceso de ese miembro del personal para buscar a cualquier propietario de Subaru por apellido, código postal, dirección de correo electrónico y teléfono. número o matrícula para acceder a sus configuraciones de Starlink. En segundos, podrían reasignar el control de las funciones Starlink del vehículo de ese usuario, incluida la capacidad de desbloquear el automóvil de forma remota, tocar la bocina, encender el motor o localizarlo, como se muestra en el video a continuación.
Esas vulnerabilidades por sí solas, para los conductores, presentan graves riesgos de robo y seguridad. Curry y Shah señalan que un hacker podría haber atacado a una víctima para acecharla o robarla, buscar la ubicación del vehículo de alguien y luego desbloquear su auto en cualquier momento, aunque un ladrón también tendría que usar de alguna manera una técnica separada para desactivar el inmovilizador del auto. el componente que impide su salida sin llave.
Esas técnicas de seguimiento y piratería de vehículos por sí solas están lejos de ser únicas. El verano pasado, Curry y otra investigadora, Neiko Rivera, demostrado a WIRED que podrían realizar un truco similar con cualquiera de los millones de vehículos vendidos por Kia. Durante los dos años anteriores, un grupo más grande de investigadores, del que forman parte Curry y Shah, descubrió vulnerabilidades de seguridad basadas en la web que afectaban a los automóviles vendido por Acura, BMW, Ferrari, Genesis, Honda, Hyundai, Infiniti, Mercedes-Benz, Nissan, Rolls Royce y Toyota.
