Milions de vehicles Kia corren el risc d'alarmar una vulnerabilitat de pirateria remota
En una revelació esgarrifosa, els investigadors de seguretat van descobrir recentment greus vulnerabilitats als sistemes en línia de Kia que van deixar milions de vehicles vulnerables a la pirateria remota. No es tractava només d'accedir a algunes funcions sense importància. Els defectes descoberts podrien haver donat als pirates informàtics el poder de controlar les funcions clau del vehicle, tot amb uns quants passos senzills.
Taula de continguts
L'explotació perillosa
Imagineu-vos això: sense més que el número de matrícula del vostre cotxe, un pirata informàtic podria aconseguir el control del vostre vehicle en menys de 30 segons. Alarmant, oi? Sam Curry, un investigador de ciberseguretat, juntament amb un equip de tres experts més, van descobrir aquests defectes inquietants al portal de propietaris de Kia, un sistema en línia que connecta els propietaris de vehicles amb els seus cotxes.
Les vulnerabilitats no només van obrir una porta al control remot dels vehicles, sinó que també van exposar un tresor d'informació personal. Els detalls com ara el nom, l'adreça, l'adreça de correu electrònic i el número de telèfon del propietari del cotxe es poden extreure sense esforç. Potser encara més preocupant, els atacants podrien crear un segon perfil d'usuari sense que el propietari ho sàpiga mai, cosa que els permetia enviar ordres al vehicle, com ara desbloquejar les portes o fins i tot engegar el motor.
L'avaria tècnica
Llavors, com van passar aquestes vulnerabilitats entre les esquerdes? Segons Curry, el lloc web dels propietaris de Kia no era només un portal per comprovar la informació del vehicle, sinó que tenia la capacitat d'executar ordres d'Internet al vehicle. Aquesta funcionalitat va ser possible gràcies a un proxy invers de backend que dirigia aquestes ordres a una API responsable de dur a terme les accions.
A més, la infraestructura del concessionari Kia presentava riscos similars. Després de registrar-se al lloc del concessionari, es podria manipular la mateixa sol·licitud utilitzada per al registre del portal de propietaris de Kia. Els investigadors van poder obtenir un testimoni d'accés, que els va permetre trucar a les API del distribuïdor de fons.
En termes senzills, el sistema lliuraria les claus del regne. Aprofitant aquestes vulnerabilitats, els pirates informàtics podrien recuperar dades personals sensibles i fins i tot substituir l'adreça de correu electrònic del propietari, convertint-se en els principals titulars del compte. A partir d'aquí, podien enviar ordres al vehicle, tot sense aixecar cap sospita per part del propietari.
Un defecte amb un abast massiu
Un dels aspectes més inquietants d'aquesta vulnerabilitat va ser el seu abast. L'equip de Curry va poder crear un tauler de prova de concepte que els va permetre escriure una matrícula, recuperar la informació personal del propietari i emetre ordres al vehicle. Segons Curry, qualsevol model de Kia fabricat després del 2013 estava potencialment en risc.
Un cop compromès, el pirata informàtic podria rastrejar el cotxe, manipular funcions com ara desbloquejar les portes, tocar la botzina o engegar el motor, tot des de la comoditat d'un teclat.
Potser la part més impactant? Des del punt de vista del propietari, no hi havia notificacions ni alertes que s'hagués accedit al seu vehicle o que s'hagués alterat el seu compte. Va ser essencialment una presa de control silenciosa.
Resposta de Kia
Afortunadament, després que les vulnerabilitats es van informar a Kia el juny de 2024, el fabricant d'automòbils va actuar. A mitjans d'agost, van implementar una solució per solucionar els defectes i protegir els seus vehicles d'explotacions remotes. Tot i que el pegat va ser un alleujament per a molts, és un recordatori clar de com s'han connectat els nostres vehicles i de la vulnerabilitat que poden ser als ciberatacs.
Què hi ha a continuació per a la seguretat del vehicle?
Amb més fabricants d'automòbils que integren tecnologia avançada i sistemes basats en Internet als seus cotxes, el risc d'amenaces cibernètiques augmenta. L'incident de Kia serveix com a trucada d'atenció, destacant la importància d'una ciberseguretat sòlida en els vehicles moderns. A mesura que la indústria de l'automòbil evoluciona, també ho han de fer els protocols de seguretat dissenyats per protegir tant els cotxes com els conductors de les amenaces digitals.
Aquest episodi hauria d'incitar als fabricants d'automòbils, i especialment a Kia, a revisar i actualitzar constantment les seves mesures de seguretat. Per als propietaris de vehicles, és fonamental mantenir-se informat, aplicar les actualitzacions ràpidament i ser conscients de qualsevol possible defecte de seguretat que pugui sorgir en aquesta era dels cotxes connectats.
El futur digital dels cotxes és apassionant, però també comporta riscos importants, que requereixen una atenció especial per mantenir a tothom a la carretera fora de perill de les amenaces físiques i digitals.