Milionům vozidel Kia hrozí alarmující zranitelnost vzdáleného hackování
V mrazivém odhalení bezpečnostní výzkumníci nedávno odhalili závažná zranitelnost v online systémech Kia, která způsobila, že miliony vozidel byly vystaveny vzdálenému hackingu. Nebylo to jen o přístupu k několika nedůležitým funkcím. Zjištěné nedostatky mohly hackerům poskytnout moc ovládat klíčové funkce vozidla, to vše v několika jednoduchých krocích.
Obsah
Nebezpečné zneužití
Představte si toto: s ničím jiným než s registrační značkou vašeho auta by hacker mohl získat kontrolu nad vaším vozidlem za méně než 30 sekund. Alarmující, že? Sam Curry, výzkumník v oblasti kybernetické bezpečnosti, spolu s týmem tří dalších odborníků objevil tyto znepokojivé nedostatky v portálu majitelů Kia – online systému, který spojuje majitele vozidel s jejich vozy.
Tato zranitelnost nejen otevřela dveře k dálkovému ovládání vozidel, ale také odhalila poklad osobních informací. Podrobnosti, jako je jméno majitele vozu, adresa, e-mailová adresa a telefonní číslo, lze snadno získat. Možná ještě znepokojivější je, že útočníci by mohli vytvořit druhý uživatelský profil, aniž by o tom vlastník věděl, a umožnit jim tak posílat příkazy do vozidla, jako je odemykání dveří nebo dokonce nastartování motoru.
Technické zhroucení
Jak tedy tyto zranitelnosti proklouzly? Podle Curryho nebyly webové stránky majitelů Kia jen portálem pro kontrolu informací o vozidle – měly schopnost provádět příkazy z internetu do vozidla. Tato funkce byla umožněna prostřednictvím backendového reverzního proxy, který nasměroval tyto příkazy na API odpovědné za provádění akcí.
Podobná rizika navíc představovala infrastruktura dealerství Kia. Po registraci na stránce dealerství bylo možné zmanipulovat stejný požadavek, jaký byl použit pro registraci na portál majitelů Kia. Výzkumníkům se podařilo získat přístupový token, který jim umožnil volat backendové dealerské API.
Jednoduše řečeno, systém by předal klíče od království. Využitím těchto zranitelností by hackeři mohli získat citlivá osobní data a dokonce nahradit e-mailovou adresu vlastníka, čímž by se sami stali primárními držiteli účtu. Odtamtud mohli posílat příkazy do vozidla – to vše bez jakéhokoli podezření na straně majitele.
Vada s masivním dosahem
Jedním z nejvíce znepokojujících aspektů této zranitelnosti byl její rozsah. Curryho tým byl schopen vytvořit kontrolní panel, který jim umožňoval zadat poznávací značku, získat osobní údaje majitele a vydávat příkazy vozidlu. Podle Curryho byl potenciálně ohrožen každý model Kia vyrobený po roce 2013.
Jakmile je hacker napaden, mohl sledovat auto, manipulovat s funkcemi, jako je odemykání dveří, zatroubení klaksonu nebo nastartování motoru – to vše z pohodlí klávesnice.
Možná nejvíce šokující část? Z pohledu vlastníka se neobjevila žádná oznámení ani upozornění, že byl přístup k jeho vozidlu nebo že jeho účet byl změněn. Bylo to v podstatě tiché převzetí.
Reakce Kia
Naštěstí poté, co byly zranitelnosti nahlášeny společnosti Kia v červnu 2024, automobilka jednala. Do poloviny srpna implementovali opravu, která měla odstranit nedostatky a chránit jejich vozidla před vzdálenými útoky. I když patch mnohým pomohl, je to jasná připomínka toho, jak se naše vozidla stala propojená a jak zranitelná mohou být vůči kybernetickým útokům.
Co bude dál v oblasti zabezpečení vozidel?
S tím, jak stále více výrobců automobilů integruje do svých vozů pokročilé technologie a internetové systémy, riziko kybernetických hrozeb roste. Incident Kia slouží jako budíček, který zdůrazňuje důležitost robustní kybernetické bezpečnosti v moderních vozidlech. Jak se vyvíjí automobilový průmysl, musí se také vyvíjet bezpečnostní protokoly navržené tak, aby chránily auta i řidiče před digitálními hrozbami.
Tato epizoda by měla přimět výrobce automobilů a zejména společnost Kia, aby neustále kontrolovali a aktualizovali svá bezpečnostní opatření. Pro majitele vozidel je zásadní, aby zůstali informováni, rychle aplikovali aktualizace a byli si vědomi všech potenciálních bezpečnostních nedostatků, které by mohly v tomto věku propojených aut nastat.
Digitální budoucnost automobilů je vzrušující, ale přináší také značná rizika – taková, která vyžadují pečlivou pozornost, aby byli všichni na cestách v bezpečí před fyzickými i digitálními hrozbami.