Μια ομάδα ερευνητών ασφαλείας ανακάλυψε κρίσιμα ελαττώματα στην πύλη αντιπροσώπων της Kia που θα μπορούσαν να επιτρέψουν στους χάκερ να εντοπίσουν και να κλέψουν εκατομμύρια αυτοκίνητα Kia που κατασκευάστηκαν μετά το 2013 χρησιμοποιώντας μόνο την πινακίδα του στοχευόμενου οχήματος.
Σχεδόν πριν από δύο χρόνια, το 2022, μερικοί από τους χάκερ αυτής της ομάδας, συμπεριλαμβανομένου του ερευνητή ασφαλείας και του κυνηγού επικηρυγμένων σφαλμάτων Sam Curry, βρήκαν άλλες κρίσιμες ευπάθειες που επηρεάζουν περισσότερες από δώδεκα εταιρείες αυτοκινήτων που θα επέτρεπαν στους εγκληματίες να εντοπίσουν εξ αποστάσεως, να απενεργοποιήσουν τους εκκινητές, να ξεκλειδώσουν , και ξεκινήστε πάνω από 15 εκατομμύρια οχήματα που κατασκευάζονται από Ferrari, BMW, Rolls Royce, Porsche και άλλες αυτοκινητοβιομηχανίες.
Σήμερα, Ο Κάρι αποκάλυψε ότι τα τρωτά σημεία της διαδικτυακής πύλης της Kia που ανακαλύφθηκαν στις 11 Ιουνίου 2024, θα μπορούσαν να αξιοποιηθούν για τον έλεγχο οποιουδήποτε οχήματος Kia εξοπλισμένο με απομακρυσμένο υλικό σε λιγότερο από 30 δευτερόλεπτα, «ανεξάρτητα από το αν είχε ενεργή συνδρομή Kia Connect».
Τα ελαττώματα εξέθεσαν επίσης ευαίσθητα προσωπικά στοιχεία των ιδιοκτητών αυτοκινήτων, όπως το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση email και τη φυσική τους διεύθυνση, και θα μπορούσαν να έχουν επιτρέψει στους εισβολείς να προσθέσουν τον εαυτό τους ως δεύτερο χρήστη στα στοχευμένα οχήματα χωρίς να το γνωρίζουν οι ιδιοκτήτες.
Για να αποδείξει περαιτέρω το πρόβλημα, η ομάδα κατασκεύασε ένα εργαλείο που δείχνει πώς ένας εισβολέας μπορούσε να εισαγάγει την πινακίδα κυκλοφορίας ενός οχήματος και, μέσα σε 30 δευτερόλεπτα, να κλειδώσει ή να ξεκλειδώσει από απόσταση το αυτοκίνητο, να το ξεκινήσει ή να το σταματήσει, να κορνάρει ή να εντοπίσει το όχημα.
Οι ερευνητές κατέγραψαν έναν λογαριασμό αντιπροσώπου στην πύλη εμπόρων kiaconnect.kdealer.com της Kia για να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες.
Μετά τον έλεγχο ταυτότητας, δημιούργησαν ένα έγκυρο διακριτικό πρόσβασης που τους έδωσε πρόσβαση σε backend API αντιπροσώπων, παρέχοντάς τους κρίσιμες λεπτομέρειες για τον ιδιοκτήτη του οχήματος και πλήρη πρόσβαση στα τηλεχειριστήρια του αυτοκινήτου.
Διαπίστωσαν ότι οι εισβολείς μπορούσαν να χρησιμοποιήσουν το API αντιπροσώπου υποστήριξης για να:
- Δημιουργήστε ένα διακριτικό αντιπροσώπου και ανακτήστε το από την απόκριση HTTP
- Πρόσβαση στη διεύθυνση email και τον αριθμό τηλεφώνου του θύματος
- Τροποποιήστε τα δικαιώματα πρόσβασης του κατόχου χρησιμοποιώντας πληροφορίες που διέρρευσαν
- Προσθέστε ένα email ελεγχόμενο από τον εισβολέα στο όχημα του θύματος, επιτρέποντας απομακρυσμένες εντολές
“Η απάντηση HTTP περιείχε το όνομα, τον αριθμό τηλεφώνου και τη διεύθυνση email του κατόχου του οχήματος. Μπορέσαμε να πραγματοποιήσουμε έλεγχο ταυτότητας στην πύλη αντιπροσώπου χρησιμοποιώντας τα κανονικά διαπιστευτήρια της εφαρμογής μας και την τροποποιημένη κεφαλίδα καναλιού”, είπε ο Curry.
Από εκεί, οι επιτιθέμενοι μπορούσαν να εισαγάγουν το VIN ενός οχήματος (αριθμός αναγνώρισης οχήματος) μέσω του API και να παρακολουθήσουν, να ξεκλειδώσουν, να ξεκινήσουν ή να κορνάρουν από απόσταση το αυτοκίνητο χωρίς να το γνωρίζει ο ιδιοκτήτης.
Τα ελαττώματα της διαδικτυακής πύλης της Kia επέτρεψαν την αθόρυβη, μη εξουσιοδοτημένη πρόσβαση σε ένα όχημα, καθώς, όπως εξήγησε ο Κάρι, «από την πλευρά του θύματος, δεν υπήρχε καμία ειδοποίηση ότι το όχημά του είχε πρόσβαση ούτε τροποποιήθηκαν οι άδειες πρόσβασής του».
«Αυτά τα τρωτά σημεία έχουν επιδιορθωθεί από τότε, αυτό το εργαλείο δεν κυκλοφόρησε ποτέ και η ομάδα της Kia επιβεβαίωσε ότι αυτό δεν έγινε ποτέ κακόβουλη εκμετάλλευση», πρόσθεσε ο Curry.
VIA: bleepingcomputer.com
