सुबारूच्या स्टारलिंक सिस्टीममध्ये एथिकल हॅकर्सने उघड केलेली प्रचंड सुरक्षा भेद्यता

By Marathi On Jan 24, 2025

20 नोव्हेंबर 2024 रोजी, सायबरसुरक्षा संशोधक शुभम शाह आणि त्यांच्या सहकाऱ्यांनी सुबारूच्या STARLINK-कनेक्टेड वाहन सेवेतील एक गंभीर असुरक्षा शोधून काढली. सुबारूच्या ऑनलाइन सिस्टीमच्या पद्धतशीर चाचणी आणि विश्लेषणाद्वारे हा शोध लावला गेला, ज्या दरम्यान संशोधकांनी अयोग्यरित्या सुरक्षित एंडपॉइंट ओळखला, ज्यामुळे संवेदनशील वाहन कार्ये आणि ग्राहक डेटावर अनधिकृत प्रवेश केला गेला. या असुरक्षिततेने युनायटेड स्टेट्स, कॅनडा आणि जपानमधील वाहने आणि ग्राहकांच्या खात्यांमध्ये अनिर्बंध लक्ष्यित प्रवेश प्रदान केला. शोषणासाठी किमान माहिती आवश्यक आहे, जसे की पीडितेचे आडनाव, पिन कोड, ईमेल पत्ता, फोन नंबर किंवा परवाना प्लेट.

असुरक्षिततेचे संभाव्य शोषण

असुरक्षा वापरून, दुर्भावनापूर्ण अभिनेत्याकडे हे असू शकते:

सुबारूच्या बॅकएंड सिस्टमचा वापर करून कोणतेही वाहन दूरस्थपणे सुरू केले, थांबवले, लॉक केले आणि अनलॉक केले. प्रणालीच्या मजबूत प्रमाणीकरण तपासणीच्या अभावामुळे अनधिकृत आदेश दूरस्थपणे जारी केले जाऊ शकतात, ज्यामुळे वाहन नियंत्रण कमीतकमी माहितीसह प्रवेशयोग्य होते. हे कनेक्ट केलेल्या सिस्टममध्ये अनधिकृत प्रवेश रोखण्यासाठी सुरक्षित प्रमाणीकरण प्रोटोकॉलचे महत्त्वपूर्ण महत्त्व अधोरेखित करते.
अचूकतेसह रिअल-टाइम वाहन स्थाने आणि स्थान इतिहासाचा एक वर्षाचा इतिहास पुनर्प्राप्त केला.
वैयक्तिकरित्या ओळखण्यायोग्य माहिती (PII), आपत्कालीन संपर्क, बिलिंग तपशील आणि वाहन पिनसह संवेदनशील ग्राहक डेटामध्ये प्रवेश केला.
अतिरिक्त डेटा काढला, जसे की समर्थन कॉल इतिहास, ओडोमीटर रीडिंग आणि मागील मालकीचे तपशील.

कृतज्ञतापूर्वक, समस्या नोंदवल्याच्या 24 तासांच्या आत पॅच केली गेली आणि असुरक्षिततेचा दुर्भावनापूर्ण शोषण केल्याचा कोणताही पुरावा नाही.

सॅम करी आणि शुभम शाह यांनी करीच्या आईच्या 2023 सुबारू इम्प्रेझासाठी सुबारूच्या एम्प्लॉयी ॲडमिन पोर्टलद्वारे एक वर्षाचा लोकेशन डेटा ऍक्सेस केला, त्यांच्या सुरक्षा कमकुवतपणाचा फायदा घेतला. स्क्रीनशॉट क्रेडिट सॅम करी.

संकल्पनेचा पुरावा: शोषणाचे प्रदर्शन

संशोधकांनी संकल्पनेचा एक थंड पुरावा प्रदान केला, हे दाखवून दिले की हल्लेखोर सुबारू वाहनावर फक्त 10 सेकंदात परवाना प्लेट वापरून नियंत्रण कसे मिळवू शकतो. हे शक्य झाले कारण परवाना प्लेट माहिती युनिक आयडेंटिफायर म्हणून काम करते ज्याचा वापर सुबारूच्या बॅकएंड सिस्टमला पुढील प्रमाणीकरणाची आवश्यकता न करता क्वेरी करण्यासाठी केला जाऊ शकतो. या डिझाईनमधील त्रुटीचा फायदा घेऊन, हल्लेखोर कमीतकमी प्रयत्नात संवेदनशील वाहन नियंत्रणे आणि डेटामध्ये प्रवेश मिळवू शकतात. त्यांनी 2023 सुबारू इम्प्रेझा मधून एक वर्षाच्या किमतीच्या स्थान डेटाची पुनर्प्राप्ती देखील प्रदर्शित केली.

दोषाचे अनावरण: एक चरण-दर-चरण ब्रेकडाउन

मायसुबारू मोबाइल ॲपवर प्रारंभिक चाचणी

संशोधकांनी MySubaru ॲपचे ऑडिट करून सुरुवात केली, जे वापरकर्त्यांना वाहन आदेश पाठविण्याची परवानगी देते. Burp Suite सारख्या साधनांचा वापर करून, त्यांनी HTTP विनंत्या रोखल्या परंतु त्यांना कोणतीही तत्काळ भेद्यता आढळली नाही. ॲपचे अंतिम बिंदू सुरक्षित होते आणि अधिकृतता मजबूत होती. ॲप सर्वात कमकुवत दुवा नाही हे लक्षात घेऊन, त्यांनी त्यांचे लक्ष इतर सुबारू-संबंधित ऑनलाइन सिस्टमकडे वळवले.

STARLINK प्रशासन पॅनेल शोधत आहे

शुभमचे सहकारी, झुडपे यांच्या मदतीने त्यांनी एक आशादायक डोमेन ओळखले: portal.prod.subarucs.comजे STARLINK ऍडमिन पॅनेल असल्याचे दिसून आले. डायरेक्टरी ब्रूट-फोर्सिंग आणि JavaScript फायली तपासण्याच्या संयोजनाद्वारे, त्यांनी अयोग्य इनपुट प्रमाणीकरण आणि टोकन-आधारित पुष्टीकरण तपासणीच्या अभावामुळे उद्भवणारी एंडपॉइंट भेद्यता शोधली. विकासातील या निरीक्षणामुळे प्रमाणीकरणाच्या अतिरिक्त स्तराची आवश्यकता न घेता कर्मचारी पासवर्ड रीसेट करण्याची परवानगी दिली, ज्यामुळे सिस्टमला हल्ल्यांना धोका निर्माण झाला. अशा त्रुटी टाळण्यासाठी, विकसकांनी कठोर प्रमाणीकरण प्रक्रिया अंमलात आणल्या पाहिजेत, वेळ-मर्यादित टोकन्स सारख्या सुरक्षित पुष्टीकरण यंत्रणेचा वापर सुनिश्चित केला पाहिजे आणि संभाव्य चुकीच्या कॉन्फिगरेशनसाठी एंडपॉइंटचे नियमितपणे ऑडिट केले पाहिजे.

पासवर्ड रीसेट एंडपॉईंटचा फायदा घेत आहे

पासवर्ड रीसेट सिस्टममधील असुरक्षिततेमुळे संशोधकांना कोणतेही कर्मचारी खाते ताब्यात घेण्याची परवानगी दिली, जर त्यांच्याकडे संबंधित ईमेल पत्ता असेल. LinkedIn आणि Subaru ईमेल पॅटर्न (first_initial)(last)@subaru.com वापरून कर्मचाऱ्यांच्या ईमेलची गणना करून, त्यांनी सक्रिय वापरकर्ता ओळखला. पासवर्ड रीसेट कार्यक्षमतेचा वापर करून, त्यांनी खाते यशस्वीरित्या नियंत्रित केले.

टू-फॅक्टर ऑथेंटिकेशनला गोंधळ घालणे

जरी संशोधकांनी कर्मचाऱ्यांच्या खात्यात प्रवेश मिळवला, तरीही त्यांना सानुकूल टू-फॅक्टर ऑथेंटिकेशन (2FA) प्रणाली आली. त्यांच्या अहवालात पुढील शोषणाचे तपशील उघड केले नसले तरी ते बायपास करण्याच्या पद्धती त्यांनी तपासण्यास सुरुवात केली.

सुबारू द्वारे त्वरित प्रतिसाद

शाह आणि शुब्स यांच्याकडून अहवाल प्राप्त झाल्यानंतर, सुबारूच्या सुरक्षा पथकाने 24 तासांच्या आत असुरक्षितता पॅच करून वेगाने कारवाई केली. सुबारू यांनी संशोधकांचे त्यांच्या जबाबदार प्रकटीकरणाबद्दल आभार मानणारे एक निवेदन जारी केले आणि ग्राहकांना याची खात्री केली की असुरक्षिततेचा दुर्भावनापूर्ण वापर केला गेला नाही.

व्यापक परिणाम

ही घटना कनेक्टेड वाहन सेवांमध्ये मजबूत सुरक्षेची गंभीर गरज अधोरेखित करते, प्रगत धोका मॉडेलिंग, नियमित प्रणाली ऑडिट आणि सुरक्षित-बाय-डिझाइन तत्त्वे स्वीकारणे यासारख्या उद्योग-व्यापी उपायांची आवश्यकता अधोरेखित करते. असे सक्रिय दृष्टिकोन समान भेद्यता टाळू शकतात आणि जोडलेल्या वाहनांसाठी एक सुरक्षित इकोसिस्टम सुनिश्चित करू शकतात. स्मार्ट वाहनांच्या वाढीमुळे नवीन अटॅक पृष्ठभागांचा परिचय होतो, ज्यामुळे वाहन निर्मात्यांना त्यांच्या प्रणालींचे नियमितपणे ऑडिट करणे आणि असुरक्षा तपासणे अत्यावश्यक होते. एथिकल हॅकर्स दुर्भावनापूर्ण अभिनेते त्यांचे शोषण करण्यापूर्वी त्रुटी ओळखण्यात महत्त्वपूर्ण भूमिका बजावतात.