Négy kiberbiztonsági kutató fedezte fel a Kia modelleket érintő sebezhetőséget, amit ha a szemfüles támadók kihasználnak, komoly károkat képesek okozni.
A riport szerint a sebezhetőség lehetővé teszi a kulcsfunkciók távoli irányítását csupán a jármű rendszámtáblájának felhasználásával.
A sebezhetőségre felfigyelő kiberbiztonsági szakemberek elmondták, hogy a támadások bármilyen hardverrel rendelkező járművön, körülbelül 30 másodperc alatt végrehajthatók. Függetlenül attól, hogy az autó rendelkezik aktív Kia Connect előfizetéssel vagy sem.
A probléma, amit egy hónapja orvosoltak, szinte minden 2013 után gyártott Kia járművet érintett. Ha a támadók kihasználták volna a sérülékenységet, olyan érzékeny információkhoz is hozzáférhettek volna, mint például a tulajdonos neve, telefonszáma, e-mail címe és lakcím.
Mivel minden adat rendelkezésükre állt volna, így „láthatatlan” második felhasználóként csatlakozhattak volna az autóhoz. Anélkül, hogy a tulajdonos tudomást szerezett volna a támadásról.
A kutatás során kiderült, hogy a sebezhetőségek kihasználása az autókereskedői infrastruktúrán keresztül hajtható végre, amely a Kia járművek aktiválásához szükséges. A támadók HTTP-kérések révén hamis fiókokat hozhatnak létre, majd hozzáférési tokeneket generálhatnak. Ezt követően a kereskedői API-t használva megszerezhetik a jármű tulajdonosának adatait.
Egyszerűen hozzáfértek a Kia autókhoz
A támadások menete viszonylag egyszerű, ezt a sebezhetőséget felfedező kutatók demonstrálták is. A kutatók négy HTTP-kérést adtak ki, amely lehetővé tette számukra, hogy parancsokat küldjenek a járműre az internetről. Hangsúlyozták, hogy az áldozatok nem kaptak értesítést arról, hogy a járművükhöz hozzáfértek, és a hozzáférési jogosultságaik sem változtak meg.
Eszerint a hipotetikus támadási forgatókönyv szerint a támadó egyszerűen beírhatja egy Kia jármű rendszámát a megfelelő platformra, lekérheti az áldozat adatait, majd néhány másodperc múlva tetszőleges parancsokat hajthat végre a járművön. Például feloldhatja a zárakat, beindíthatta az autót vagy a dudát.
A Kia 2024. június 14-én nyilvánosságra hozta a problémát. Majd 2024. augusztus 14-én orvosolta a hibákat egy szoftverfrissítéssel. A kiberbiztonsági kutatócsoport szerint azonban ez még nem oldja meg teljesen a távoli irányítás problémáját.
Az érintett járművek listája itt megnézhető.
(Kép: pixabay.com)