Милиони превозни средства Kia са изложени на риск от тревожна уязвимост при дистанционно хакване
В смразяващо разкритие изследователите по сигурността наскоро разкриха сериозни уязвимости в онлайн системите на Kia, които направиха милиони превозни средства уязвими за дистанционно хакване. Това не беше просто достъп до няколко маловажни функции. Откритите недостатъци можеха да дадат на хакерите властта да контролират ключови функции на автомобила, всичко това с няколко прости стъпки.
Съдържание
Опасният експлойт
Представете си това: с нищо повече от регистрационния номер на колата ви, хакер може потенциално да получи контрол над вашето превозно средство за по-малко от 30 секунди. Тревожно, нали? Сам Къри, изследовател по киберсигурност, заедно с екип от трима други експерти, откриха тези обезпокоителни пропуски в портала за собственици на Kia – онлайн система, която свързва собствениците на превозни средства с техните автомобили.
Уязвимостите не само отвориха врата за дистанционно управление на превозни средства, но също така разкриха съкровищница от лична информация. Подробности като име, адрес, имейл адрес и телефонен номер на собственика на автомобила могат да бъдат извлечени без усилие. Може би още по-притеснително е, че нападателите биха могли да създадат втори потребителски профил, без собственикът изобщо да разбере, което им позволява да изпращат команди до автомобила като отключване на вратите или дори стартиране на двигателя.
Техническа повреда
И така, как тези уязвимости се промъкнаха през пукнатините? Според Къри уебсайтът на собствениците на Kia не е просто портал за проверка на информацията за превозното средство - той има способността да изпълнява команди от интернет към превозно средство. Тази функционалност стана възможна чрез обратен прокси сървър, който насочва тези команди към API, отговорен за извършването на действията.
Освен това дилърската инфраструктура на Kia представляваше подобни рискове. След регистрация в сайта на представителството, същата заявка, използвана за регистрация на портала за собственици на Kia, може да бъде манипулирана. Изследователите са успели да получат токен за достъп, което им позволява да извикват API на задния дилър.
С прости думи, системата ще предаде ключовете на кралството. Използвайки тези уязвимости, хакерите могат да извлекат чувствителни лични данни и дори да заменят имейл адреса на собственика, превръщайки се в основни притежатели на акаунт. Оттам те можеха да изпращат команди до превозното средство - всичко това без да предизвикват никакви подозрения от страна на собственика.
Недостатък с огромен обхват
Един от най-тревожните аспекти на тази уязвимост беше нейният обхват. Екипът на Къри успя да създаде табло за доказателство на концепцията, което им позволи да въведат регистрационен номер, да извлекат личната информация на собственика и да подават команди към превозното средство. Според Къри всеки модел на Kia, произведен след 2013 г., е потенциално изложен на риск.
Веднъж компрометиран, хакерът може да проследи колата, да манипулира функции като отключване на вратите, натискане на клаксона или стартиране на двигателя – всичко това от комфорта на клавиатурата.
Може би най-шокиращата част? От гледна точка на собственика нямаше известия или сигнали, че превозното им средство е било достъпно или акаунтът им е променен. По същество това беше тихо поглъщане.
Отговорът на Kia
За щастие, след като уязвимостите бяха докладвани на Kia през юни 2024 г., автомобилният производител предприе действия. До средата на август те въведоха корекция за отстраняване на недостатъците и защита на превозните си средства от отдалечени експлойти. Въпреки че корекцията дойде като облекчение за мнозина, тя е ярко напомняне за това колко свързани са станали нашите превозни средства и колко уязвими могат да бъдат за кибератаки.
Какво следва за сигурността на превозните средства?
С все повече производители на автомобили, които интегрират модерни технологии и интернет базирани системи в своите автомобили, рискът от киберзаплахи нараства. Инцидентът с Kia служи като сигнал за събуждане, подчертавайки важността на стабилната киберсигурност в съвременните превозни средства. С развитието на автомобилната индустрия трябва да се развиват и протоколите за сигурност, предназначени да пазят колите и шофьорите в безопасност от цифрови заплахи.
Този епизод трябва да накара производителите на автомобили и особено Kia постоянно да преразглеждат и актуализират своите мерки за сигурност. За собствениците на превозни средства е изключително важно да бъдат информирани, да прилагат своевременно актуализации и да са наясно с всички потенциални пропуски в сигурността, които могат да възникнат в тази ера на свързани автомобили.
Дигиталното бъдеще на автомобилите е вълнуващо, но също така идва със значителни рискове – такива, които изискват внимателно внимание, за да предпазите всеки на пътя както от физически, така и от цифрови заплахи.