מיליוני רכבי קיה בסיכון של פגיעות פריצה מרחוק מדאיגה

בגילוי מצמרר, חוקרי אבטחה חשפו לאחרונה נקודות תורפה חמורות במערכות המקוונות של קיה שהותירו מיליוני כלי רכב חשופים לפריצה מרחוק. זה לא היה רק על גישה לכמה תכונות לא חשובות. הפגמים שהתגלו יכלו לתת להאקרים את הכוח לשלוט בפונקציות מפתח של הרכב, והכל בכמה שלבים פשוטים.

הניצול המסוכן

תארו לעצמכם את זה: עם לא יותר ממספר לוחית הרישוי של המכונית שלכם, האקר עשוי להשתלט על הרכב שלכם תוך פחות מ-30 שניות. מדאיג, נכון? סם קארי, חוקר אבטחת סייבר, לצד צוות של שלושה מומחים נוספים, גילה את הפגמים המטרידים הללו בפורטל הבעלים של קיה - מערכת מקוונת שמחברת בין בעלי רכבים למכוניות שלהם.

נקודות התורפה לא רק פתחו דלת לשליטה מרחוק על כלי רכב אלא גם חשפו אוצר של מידע אישי. ניתן היה לחלץ פרטים כגון שם בעל הרכב, כתובת, כתובת דואר אלקטרוני ומספר טלפון של בעל הרכב ללא מאמץ. אולי אפילו יותר מדאיג, התוקפים יכולים ליצור פרופיל משתמש שני מבלי שהבעלים יידע, מה שיאפשר להם לשלוח פקודות לרכב כמו פתיחת הדלתות או אפילו התנעת המנוע.

התמוטטות הטכנית

אז איך נקודות התורפה הללו חמקו בין הסדקים? לטענת קארי, אתר האינטרנט של בעלי קיה לא היה רק פורטל לבדיקת מידע על כלי רכב – היה לו את היכולת לבצע פקודות אינטרנט לרכב. פונקציונליות זו התאפשרה באמצעות פרוקסי הפוך אחורי שהפנה את הפקודות הללו ל-API האחראי על ביצוע הפעולות.

בנוסף, תשתית סוכנות קיה היוותה סיכונים דומים. לאחר ההרשמה לאתר הסוכנות, ניתן היה לבצע מניפולציות באותה בקשה המשמשת לרישום פורטל הבעלים של קיה. החוקרים הצליחו להשיג אסימון גישה, המאפשר להם להתקשר לממשקי API של סוחרים עורפיים.

במילים פשוטות, המערכת תמסור את המפתחות לממלכה. על ידי ניצול הפגיעויות הללו, האקרים יכולים לאחזר נתונים אישיים רגישים ואף להחליף את כתובת הדוא"ל של הבעלים, ולהפוך את עצמם לבעלי החשבון העיקריים. משם יכלו לשלוח פקודות לרכב — כל זאת מבלי להעלות חשד מצד הבעלים.

פגם עם טווח הגעה מסיבי

אחד ההיבטים המטרידים ביותר של הפגיעות הזו היה היקפה. הצוות של קארי הצליח ליצור לוח מחוונים הוכחת קונספט שאפשר להם להקליד לוחית רישוי, לאחזר את המידע האישי של הבעלים ולהוציא פקודות לרכב. לדברי קארי, כל דגם קיה שיוצר לאחר 2013 היה בסיכון.

לאחר פשרה, ההאקר יכול לעקוב אחר המכונית, לתפעל תכונות כמו פתיחת נעילת הדלתות, צפירת צופר או התנעת המנוע - הכל בנוחות של מקלדת.

אולי החלק הכי מזעזע? מנקודת המבט של הבעלים, לא היו הודעות או התראות על כך שנכנסה לרכב שלו או שהחשבון שלו השתנה. זו הייתה בעצם השתלטות שקטה.

התגובה של קיה

למרבה המזל, לאחר דיווח על נקודות התורפה לקיה ביוני 2024, יצרנית הרכב פעלה. עד אמצע אוגוסט, הם יישמו תיקון כדי לטפל בפגמים ולהגן על כלי הרכב שלהם מפני ניצולים מרוחקים. למרות שהתיקון הגיע כהקלה לרבים, הוא תזכורת בולטת לכמה כלי הרכב שלנו הפכו מחוברים ועד כמה הם יכולים להיות פגיעים להתקפות סייבר.

מה הלאה לגבי אבטחת רכב?

עם יותר יצרניות רכב המשלבות טכנולוגיה מתקדמת ומערכות מבוססות אינטרנט במכוניותיהן, הסיכון לאיומי סייבר נמצא בעלייה. תקרית קיה משמשת כקריאת השכמה, המדגישה את החשיבות של אבטחת סייבר חזקה בכלי רכב מודרניים. ככל שתעשיית הרכב מתפתחת, כך גם פרוטוקולי האבטחה שנועדו לשמור על בטיחות המכוניות והנהגים מפני איומים דיגיטליים.

פרק זה אמור לעורר את יצרניות הרכב, ובמיוחד את קיה, לבדוק ולעדכן כל הזמן את אמצעי האבטחה שלהם. לבעלי רכב, חיוני להישאר מעודכן, להחיל עדכונים מיידית ולהיות מודעים לכל ליקויי אבטחה פוטנציאליים שעלולים להתעורר בעידן זה של מכוניות מחוברות.

העתיד הדיגיטלי של המכוניות הוא מרגש, אבל הוא גם כרוך בסיכונים משמעותיים - כאלה שדורשים תשומת לב קפדנית כדי לשמור על כל מי שנמצא בדרכים מפני איומים פיזיים ודיגיטליים כאחד.