میلیون‌ها خودروی کیا در معرض خطر آسیب‌پذیری هشداردهنده هک از راه دور

در یک افشاگری وحشتناک، محققان امنیتی اخیراً آسیب‌پذیری‌های جدی را در سیستم‌های آنلاین کیا کشف کردند که میلیون‌ها خودرو را در معرض هک از راه دور قرار داد. این فقط برای دسترسی به چند ویژگی بی اهمیت نبود. نقایص کشف شده می توانست به هکرها این قدرت را بدهد که عملکردهای کلیدی خودرو را با چند مرحله ساده کنترل کنند.

بهره برداری خطرناک

این را تصور کنید: با چیزی بیش از شماره پلاک خودروی شما، یک هکر به طور بالقوه می تواند کنترل وسیله نقلیه شما را در کمتر از 30 ثانیه به دست آورد. هشدار دهنده، درست است؟ سام کوری، محقق امنیت سایبری، به همراه تیمی متشکل از سه کارشناس دیگر، این ایرادات نگران کننده را در پورتال مالکان کیا - یک سیستم آنلاین که صاحبان وسایل نقلیه را به خودروهایشان متصل می کند - کشف کردند.

این آسیب پذیری ها نه تنها دری را به روی کنترل از راه دور وسایل نقلیه باز کرد، بلکه گنجینه ای از اطلاعات شخصی را نیز در معرض دید قرار داد. جزئیاتی مانند نام، آدرس، آدرس ایمیل و شماره تلفن مالک خودرو را می‌توان بدون زحمت استخراج کرد. شاید حتی نگران‌کننده‌تر، مهاجمان می‌توانند یک پروفایل کاربری دوم ایجاد کنند، بدون اینکه مالک بداند، و آنها را قادر می‌سازد تا دستوراتی مانند باز کردن قفل درها یا حتی روشن کردن موتور را به وسیله نقلیه ارسال کنند.

خرابی فنی

پس چگونه این آسیب‌پذیری‌ها از بین رفتند؟ به گفته کری، وب‌سایت مالکان کیا فقط یک پورتال برای بررسی اطلاعات خودرو نبود، بلکه توانایی اجرای دستورات اینترنت به خودرو را داشت. این عملکرد از طریق یک پروکسی معکوس باطن امکان پذیر شد که این دستورات را به یک API که مسئول انجام اقدامات است هدایت می کرد.

علاوه بر این، زیرساخت نمایندگی کیا نیز خطرات مشابهی را به همراه داشت. پس از ثبت نام در سایت نمایندگی، همان درخواستی که برای ثبت نام پورتال مالکان کیا استفاده شده بود قابل دستکاری بود. محققان توانستند یک توکن دسترسی به دست آورند که به آنها اجازه می داد APIهای فروشنده پشتیبان را فراخوانی کنند.

به عبارت ساده، این سیستم کلیدها را به پادشاهی تحویل می دهد. با بهره برداری از این آسیب پذیری ها، هکرها می توانند داده های شخصی حساس را بازیابی کنند و حتی آدرس ایمیل مالک را جایگزین کنند و خود را دارندگان اصلی حساب کنند. از آنجا، آنها می توانند دستوراتی را به وسیله نقلیه ارسال کنند - همه اینها بدون ایجاد هیچ گونه سوء ظنی در مورد پایان مالک.

یک نقص با دسترسی گسترده

یکی از نگران کننده ترین جنبه های این آسیب پذیری دامنه آن بود. تیم Curry توانست داشبورد اثبات مفهومی ایجاد کند که به آنها اجازه می داد پلاک خودرو را تایپ کنند، اطلاعات شخصی مالک را بازیابی کنند و دستوراتی را برای خودرو صادر کنند. به گفته کری، هر مدل کیا که پس از سال 2013 تولید شود، به طور بالقوه در معرض خطر است.

پس از به خطر افتادن، هکر می‌تواند ماشین را ردیابی کند، ویژگی‌هایی مانند باز کردن قفل درها، بوق زدن یا راه‌اندازی موتور را دستکاری کند - همه اینها از راحتی یک صفحه کلید.

شاید تکان دهنده ترین قسمت؟ از دیدگاه مالک، هیچ اعلان یا هشداری مبنی بر دسترسی به وسیله نقلیه آنها یا تغییر حساب کاربری آنها وجود نداشت. این در اصل یک تصاحب بی سر و صدا بود.

پاسخ کیا

خوشبختانه پس از گزارش آسیب‌پذیری‌ها به کیا در ژوئن 2024، این خودروساز وارد عمل شد. در اواسط آگوست، آنها اصلاحاتی را برای رفع نقص ها و محافظت از وسایل نقلیه خود در برابر سوء استفاده از راه دور اجرا کردند. در حالی که این وصله به عنوان تسکین دهنده برای بسیاری بود، یادآوری واضحی است از اینکه وسایل نقلیه ما چقدر به هم متصل شده اند و چقدر می توانند در برابر حملات سایبری آسیب پذیر باشند.

آینده امنیت خودرو چیست؟

با ادغام بیشتر خودروسازان فناوری پیشرفته و سیستم های مبتنی بر اینترنت در خودروهای خود، خطر تهدیدات سایبری در حال افزایش است. حادثه کیا به عنوان زنگ خطری عمل می کند و اهمیت امنیت سایبری قوی در خودروهای مدرن را برجسته می کند. همانطور که صنعت خودرو در حال تکامل است، پروتکل های امنیتی نیز باید برای ایمن نگه داشتن خودروها و رانندگان از تهدیدات دیجیتال طراحی شده اند.

این اپیزود باید خودروسازان و به ویژه کیا را ترغیب کند که به طور مداوم اقدامات امنیتی خود را بررسی و به روز کنند. برای دارندگان وسایل نقلیه، بسیار مهم است که مطلع بمانند، به‌روزرسانی‌ها را فوراً اعمال کنند و از هرگونه نقص امنیتی احتمالی که ممکن است در این عصر خودروهای متصل به وجود بیاید آگاه باشند.

آینده دیجیتالی خودروها هیجان‌انگیز است، اما خطرات قابل‌توجهی نیز به همراه دارد – خطراتی که نیازمند توجه دقیق برای ایمن نگه داشتن همه افراد در جاده‌ها از تهدیدات فیزیکی و دیجیتالی است.