Miljoneid Kia sõidukeid ohustab murettekitav kaughäkkimise haavatavus
Jahutava ilmutusena avastasid turvateadlased hiljuti Kia võrgusüsteemides tõsised haavatavused, mis muutsid miljonid sõidukid kaughäkkimise suhtes haavatavaks. See ei tähendanud ainult juurdepääsu mõnele ebaolulisele funktsioonile. Avastatud vead võisid anda häkkeritele võimaluse juhtida sõiduki põhifunktsioone, kõike seda mõne lihtsa sammuga.
Sisukord
Ohtlik ärakasutamine
Kujutage ette seda: häkker võib teie sõiduki üle kontrolli alla saada vähem kui 30 sekundiga, kui pole midagi muud kui teie auto numbrimärk. Murettekitav, eks? Küberjulgeoleku uurija Sam Curry koos kolme teise eksperdi meeskonnaga avastas need murettekitavad vead Kia omanike portaalis – veebisüsteemis, mis ühendab sõidukiomanikke nende autodega.
Haavatavus ei avanud mitte ainult ust sõidukite kaugjuhtimiseks, vaid paljastas ka isikliku teabe aarde. Selliseid üksikasju nagu autoomaniku nimi, aadress, e-posti aadress ja telefoninumber saab vaevata välja võtta. Võib-olla veelgi murettekitavam on see, et ründajad võivad omaniku teadmata luua teise kasutajaprofiili, mis võimaldab neil saata sõidukile käske, nagu uste avamine või isegi mootori käivitamine.
Tehniline rike
Kuidas siis need haavatavused läbi libisesid? Curry sõnul ei olnud Kia omanike veebisait ainult sõidukiteabe kontrollimise portaal - sellel oli võimalus täita Interneti-sõidukile käske. See funktsioon sai võimalikuks taustaprogrammi pöördpuhverserveri kaudu, mis suunas need käsud toimingute teostamise eest vastutavale API-le.
Lisaks kujutas Kia esinduste infrastruktuur sarnaseid riske. Pärast esinduse saidil registreerimist sai manipuleerida sama päringuga, mida kasutati Kia omanike portaali registreerimisel. Teadlastel õnnestus hankida juurdepääsuluba, mis võimaldas neil helistada backend edasimüüja API-dele.
Lihtsamalt öeldes annaks süsteem kuningriigi võtmed üle. Neid haavatavusi ära kasutades võivad häkkerid hankida tundlikke isikuandmeid ja isegi asendada omaniku e-posti aadressi, muutes end esmaseks kontoomanikuks. Sealt said nad sõidukile käsklusi saata – seda kõike ilma omanikus kahtlust tekitamata.
Suure ulatusega viga
Selle haavatavuse üks murettekitavamaid aspekte oli selle ulatus. Curry meeskond suutis luua kontseptsiooni tõendava armatuurlaua, mis võimaldas neil sisestada numbrimärki, hankida omaniku isikuandmeid ja anda sõidukile käske. Curry sõnul olid kõik pärast 2013. aastat toodetud Kia mudelid potentsiaalselt ohus.
Pärast ohtu sattumist saab häkker autot jälgida, manipuleerida selliste funktsioonidega nagu uste avamine, helisignaali andmine või mootori käivitamine – kõike seda mugavalt klaviatuuri abil.
Võib-olla kõige šokeerivam osa? Omaniku vaatenurgast ei olnud ühtegi teatist ega hoiatust selle kohta, et tema sõidukile on juurdepääs või kontot muudetud. See oli sisuliselt vaikne ülevõtmine.
Kia vastus
Õnneks hakkas autotootja pärast seda, kui Kiale 2024. aasta juunis haavatavustest teatati. Augusti keskpaigaks võtsid nad kasutusele paranduse, et kõrvaldada puudused ja kaitsta oma sõidukeid kaugkasutamise eest. Kuigi plaaster tuli paljudele kergenduseks, on see karm meeldetuletus sellest, kui ühendatud on meie sõidukid muutunud ja kui haavatavad need võivad olla küberrünnakute suhtes.
Mis saab sõidukite turvalisusest edasi?
Kuna rohkem autotootjaid integreerib oma autodesse kõrgtehnoloogiat ja Interneti-põhiseid süsteeme, suureneb küberohtude oht. Kia juhtum on äratuskell, mis rõhutab tugeva küberturvalisuse olulisust tänapäevastes sõidukites. Kuna autotööstus areneb, peavad ka turvaprotokollid olema loodud selleks, et hoida nii autosid kui ka juhte digitaalsete ohtude eest kaitstuna.
See episood peaks ajendama autotootjaid ja eriti Kiat oma turvameetmeid pidevalt üle vaatama ja värskendama. Sõidukiomanike jaoks on ülioluline olla kursis, rakendada värskendusi kiiresti ja olla teadlik võimalikest turvavigadest, mis võivad sel ühendatud autode ajastul tekkida.
Autode digitaalne tulevik on põnev, kuid sellega kaasnevad ka märkimisväärsed riskid – need, mis nõuavad hoolikat tähelepanu, et hoida kõiki teelolijaid kaitstuna nii füüsiliste kui digitaalsete ohtude eest.