Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Minden 2013 után gyártott Kia veszélyben van

MEGOSZTÁS

Aggasztó sebezhetőség derült ki, ami minden 2013 után gyártott Kia gyártmányú autót érint.

Négy kiberbiztonsági kutató fedezte fel a Kia modelleket érintő sebezhetőséget, amit ha a szemfüles támadók kihasználnak, komoly károkat képesek okozni.

A riport szerint a sebezhetőség lehetővé teszi a kulcsfunkciók távoli irányítását csupán a jármű rendszámtáblájának felhasználásával.

A sebezhetőségre felfigyelő kiberbiztonsági szakemberek elmondták, hogy a támadások bármilyen hardverrel rendelkező járművön, körülbelül 30 másodperc alatt végrehajthatók. Függetlenül attól, hogy az autó rendelkezik aktív Kia Connect előfizetéssel vagy sem.

A probléma, amit egy hónapja orvosoltak, szinte minden 2013 után gyártott Kia járművet érintett. Ha a támadók kihasználták volna a sérülékenységet, olyan érzékeny információkhoz is hozzáférhettek volna, mint például a tulajdonos neve, telefonszáma, e-mail címe és lakcím.

Mivel minden adat rendelkezésükre állt volna, így „láthatatlan” második felhasználóként csatlakozhattak volna az autóhoz. Anélkül, hogy a tulajdonos tudomást szerezett volna a támadásról.

A kutatás során kiderült, hogy a sebezhetőségek kihasználása az autókereskedői infrastruktúrán keresztül hajtható végre, amely a Kia járművek aktiválásához szükséges. A támadók HTTP-kérések révén hamis fiókokat hozhatnak létre, majd hozzáférési tokeneket generálhatnak. Ezt követően a kereskedői API-t használva megszerezhetik a jármű tulajdonosának adatait.

Egyszerűen hozzáfértek a Kia autókhoz

A támadások menete viszonylag egyszerű, ezt a sebezhetőséget felfedező kutatók demonstrálták is. A kutatók négy HTTP-kérést adtak ki, amely lehetővé tette számukra, hogy parancsokat küldjenek a járműre az internetről. Hangsúlyozták, hogy az áldozatok nem kaptak értesítést arról, hogy a járművükhöz hozzáfértek, és a hozzáférési jogosultságaik sem változtak meg.

Eszerint a hipotetikus támadási forgatókönyv szerint a támadó egyszerűen beírhatja egy Kia jármű rendszámát a megfelelő platformra, lekérheti az áldozat adatait, majd néhány másodperc múlva tetszőleges parancsokat hajthat végre a járművön. Például feloldhatja a zárakat, beindíthatta az autót vagy a dudát.

A Kia 2024. június 14-én nyilvánosságra hozta a problémát. Majd 2024. augusztus 14-én orvosolta a hibákat egy szoftverfrissítéssel. A kiberbiztonsági kutatócsoport szerint azonban ez még nem oldja meg teljesen a távoli irányítás problémáját.

Az érintett járművek listája itt megnézhető.

 

(Kép: pixabay.com)

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

PODCAST

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!