Miljoonat Kia-ajoneuvot ovat vaarassa saada hälyttävän etähakkerointihaavoittuvuuden
Hyyttävänä paljastuksena tietoturvatutkijat paljastivat äskettäin vakavia haavoittuvuuksia Kian verkkojärjestelmissä, jotka jättivät miljoonat ajoneuvot alttiiksi etähakkerointille. Kyse ei ollut vain muutamien merkityksettömien ominaisuuksien käyttämisestä. Löydetyt puutteet olisivat voineet antaa hakkereille vallan hallita ajoneuvon keskeisiä toimintoja, kaikki muutamalla yksinkertaisella askeleella.
Sisällysluettelo
Vaarallinen hyväksikäyttö
Kuvittele tämä: ilman muuta kuin autosi rekisterinumeroa, hakkeri voi saada ajoneuvosi hallintaan alle 30 sekunnissa. Hälyttävää, eikö? Kyberturvallisuuden tutkija Sam Curry yhdessä kolmen muun asiantuntijan ryhmän kanssa löysi nämä hämmentävät puutteet Kian omistajien portaalista – verkkojärjestelmästä, joka yhdistää ajoneuvojen omistajat heidän autoihinsa.
Haavoittuvuudet eivät vain avaneet oven ajoneuvojen kauko-ohjaukselle, vaan myös paljastaneet henkilökohtaisten tietojen aarreaitta. Yksityiskohdat, kuten auton omistajan nimi, osoite, sähköpostiosoite ja puhelinnumero, voitiin poimia vaivattomasti. Ehkä vielä huolestuttavampaa on, että hyökkääjät voisivat luoda toisen käyttäjäprofiilin omistajan tietämättä, jolloin he voivat lähettää ajoneuvoon komentoja, kuten ovien avaamista tai jopa moottorin käynnistämistä.
Tekninen vika
Joten miten nämä haavoittuvuudet lipsahtivat halkeamien läpi? Curryn mukaan Kian omistajien verkkosivusto ei ollut vain portaali ajoneuvotietojen tarkistamiseen – sillä oli kyky suorittaa Internet-ajoneuvo-komentoja. Tämä toiminnallisuus tehtiin mahdolliseksi taustapalvelimen käänteisen välityspalvelimen kautta, joka ohjasi nämä komennot toimintojen suorittamisesta vastaavalle API:lle.
Lisäksi Kia-jälleenmyyjien infrastruktuuri aiheutti samanlaisia riskejä. Jälleenmyyntisivustolle rekisteröitymisen jälkeen samaa pyyntöä, jota Kian omistajien portaalin rekisteröintiin käytettiin, voitiin manipuloida. Tutkijat pystyivät saamaan pääsytunnuksen, jonka avulla he voivat kutsua taustajakelijasovellusliittymiä.
Yksinkertaisesti sanottuna järjestelmä luovuttaisi valtakunnan avaimet. Hyödyntämällä näitä haavoittuvuuksia hakkerit voivat hakea arkaluontoisia henkilötietoja ja jopa korvata omistajan sähköpostiosoitteen tehden itsestään ensisijaiset tilinomistajat. Sieltä he saattoivat lähettää komentoja ajoneuvoon - kaikki ilman, että omistajan puolelta epäiltiin.
Virhe massiivisessa ulottuvuudessa
Yksi tämän haavoittuvuuden huolestuttavimmista puolista oli sen laajuus. Curryn tiimi pystyi luomaan konseptin kojelaudan, jonka avulla he voivat kirjoittaa rekisterikilven, hakea omistajan henkilökohtaiset tiedot ja antaa komentoja ajoneuvolle. Curryn mukaan kaikki vuoden 2013 jälkeen valmistetut Kia-mallit olivat mahdollisesti vaarassa.
Kun hakkeri on vaarantunut, hän pystyi jäljittämään autoa, manipuloimaan ominaisuuksia, kuten ovien avaamista, äänitorven ääntä tai moottorin käynnistämistä – kaikki kätevästi näppäimistön avulla.
Ehkä järkyttävin osa? Omistajan näkökulmasta ei tullut ilmoituksia tai hälytyksiä siitä, että hänen ajoneuvoonsa olisi käytetty tai hänen tiliään on muutettu. Se oli pohjimmiltaan hiljainen haltuunotto.
Kian vastaus
Onneksi sen jälkeen kun haavoittuvuuksista ilmoitettiin Kialle kesäkuussa 2024, autonvalmistaja toimi. Elokuun puoliväliin mennessä he ottivat käyttöön korjauksen korjatakseen puutteet ja suojellakseen ajoneuvojaan etäkäytöltä. Vaikka korjaustiedosto oli helpotus monille, se on jyrkkä muistutus siitä, kuinka yhteyksiä ajoneuvoistamme on tullut ja kuinka haavoittuvia ne voivat olla kyberhyökkäyksille.
Mitä seuraavaksi ajoneuvojen turvallisuuden suhteen?
Kun yhä useammat autonvalmistajat integroivat edistyksellistä teknologiaa ja Internet-pohjaisia järjestelmiä autoihinsa, kyberuhkien riski kasvaa. Kia-onnettomuus toimii herätyksenä ja korostaa vankan kyberturvallisuuden merkitystä nykyaikaisissa ajoneuvoissa. Autoteollisuuden kehittyessä myös turvaprotokollien on oltava suunniteltu pitämään sekä autot että kuljettajat turvassa digitaalisilta uhilta.
Tämän jakson pitäisi kehottaa autonvalmistajia ja erityisesti Kiaa tarkistamaan ja päivittämään jatkuvasti turvatoimiaan. Ajoneuvon omistajille on erittäin tärkeää pysyä ajan tasalla, ottaa päivitykset käyttöön nopeasti ja olla tietoinen mahdollisista tietoturvapuutteista, joita saattaa ilmetä tällä kytkettyjen autojen aikakaudella.
Autojen digitaalinen tulevaisuus on jännittävä, mutta siihen liittyy myös merkittäviä riskejä – riskejä, jotka vaativat huolellista huomiota, jotta kaikki tiellä liikkuvat voidaan pitää turvassa sekä fyysisiltä että digitaalisilta uhilta.