완성차 업체 스바루에서 생산하는 2017 WRX STI 스포츠모델에 탑재된 소프트웨어에서 보안 취약점을 발견했다고 밝혔다. 

독립 연구원인 애론 거즈만은 iOS, Android 및 웹 앱이 스바루 차량의 스타링크(Starlink) 서버와 통신시 취약점이 있음을 발견했다. 이 취약점으로 인해 차량의 소프트웨어에 무단 액세스가 허용될 우려가 있다고 밝혔다.

해커가 취약점을 찾아 공격할 경우 사용자를 스타링크 계정에 추가할 수있고 이로 인해 권한이 없는 사용자가 문을 열거나 경적을 울리거나 자동차의 스타링크 계정을 통해 차량 위치 기록을 얻을 수 있다.

스타링크는 원격 멀티미디어, 보안 및 안전 서비스를 제공하는 스바루의 차량 내부 기술이다.

거즈만은 그가 스타링크 "토큰"에서 "영구적 토큰 문제"라고 불렀던 것을 발견했다고 전했다.

스타링크 "토큰"은 사용자가 인증되면 액세스를 허용하도록 임의로 생성된다. 토큰은 재사용을 방지하기 위해 짧은 시간 후에 만료되지만 영구적으로 로그인된 상태로 머무른다.

토큰은 URL을 통해 전송되고 일반 텍스트 데이터베이스에 캐시되며 사용자가 암호를 변경한 후에도 만료되지 않는다.

그 결과, 공격자는 크로스 사이트 스크립팅 또는 중간자 전략을 사용하여 스타링크 계정을 통해 2017년 스바루에서 생성된 토큰을 캡처할 수 있었다고 거즈만은 말했다.

그런 다음 공격자는 전자 메일 주소를 입력하여 다른 사용자를 자동차 소유자의 계정에 추가했다.

새 사용자는 스바루가 보낸, 자신의 계정 암호를 만들라는 전자 메일을 받게되며 승인된 사용자로 등록된다.

거즈만은 2016년 스바루 모바일 앱에서 소유자가 차량 유지 관리를 추적 할 수 있도록 만든 동일한 기술 결함을 발견한 바 있다.

거즈만에 따르면 해당 토큰도 만료되지 않았다. 그는 이 문제를 스바루에 보고했지만 올해에도 같은 버그가 나타난 것이다.

이 결함은 2월에 스바루에 보고되었으며 대부분의 버그는 수정됐다고 밝혔다.