Milijuni Kijinih vozila u opasnosti od alarmantne ranjivosti daljinskog hakiranja
U jezivom otkriću, istraživači sigurnosti nedavno su otkrili ozbiljne ranjivosti u Kijinim online sustavima zbog kojih su milijuni vozila bili ranjivi na daljinsko hakiranje. Ovdje se nije radilo samo o pristupu nekoliko nevažnih značajki. Otkriveni nedostaci mogli su hakerima dati moć upravljanja ključnim funkcijama vozila, a sve to uz nekoliko jednostavnih koraka.
Sadržaj
Opasna eksploatacija
Zamislite ovo: bez ičega osim registarske tablice vašeg automobila, haker bi potencijalno mogao preuzeti kontrolu nad vašim vozilom za manje od 30 sekundi. Alarmantno, zar ne? Sam Curry, istraživač kibernetičke sigurnosti, zajedno s timom od još tri stručnjaka, otkrio je ove uznemirujuće nedostatke na Kia portalu za vlasnike—mrežnom sustavu koji povezuje vlasnike vozila s njihovim automobilima.
Ranjivosti nisu samo otvorile vrata daljinskom upravljanju vozilima, već su također otkrile riznicu osobnih podataka. Pojedinosti kao što su ime, adresa, adresa e-pošte i telefonski broj vlasnika automobila mogu se izdvojiti bez napora. Možda još više zabrinjava to što bi napadači mogli stvoriti drugi korisnički profil, a da vlasnik to uopće ne zna, omogućujući im da šalju naredbe vozilu poput otključavanja vrata ili čak pokretanja motora.
Tehnički slom
Kako su se te ranjivosti provukle kroz pukotine? Prema Curryju, web stranica Kijinih vlasnika nije bila samo portal za provjeru informacija o vozilu – imala je mogućnost izvršavanja naredbi s interneta na vozilo. Ova je funkcionalnost omogućena putem pozadinskog obrnutog proxyja koji je ove naredbe usmjeravao na API odgovoran za izvođenje radnji.
Osim toga, infrastruktura Kia dilera predstavljala je slične rizike. Nakon registracije na web-mjestu zastupstva moglo bi se manipulirati istim zahtjevom koji je korišten za registraciju Kijinog vlasničkog portala. Istraživači su uspjeli dobiti pristupni token, što im je omogućilo pozivanje API-ja pozadinskog trgovca.
Jednostavno rečeno, sustav bi predao ključeve kraljevstva. Iskorištavanjem ovih ranjivosti, hakeri bi mogli dohvatiti osjetljive osobne podatke, pa čak i zamijeniti adresu e-pošte vlasnika, čime bi postali primarni vlasnici računa. Odande su mogli slati naredbe vozilu—sve bez izazivanja sumnje kod vlasnika.
Mana s golemim dosegom
Jedan od najuznemirujućih aspekata ove ranjivosti bio je njezin opseg. Curryjev tim uspio je izraditi kontrolnu ploču s dokazom koncepta koja im je omogućila upisivanje registarske pločice, dohvaćanje osobnih podataka vlasnika i izdavanje naredbi vozilu. Prema Curryju, svaki Kijin model proizveden nakon 2013. bio je potencijalno ugrožen.
Jednom kompromitiran, haker bi mogao pratiti automobil, manipulirati značajkama kao što su otključavanje vrata, trubljenje ili pokretanje motora - sve iz udobnosti tipkovnice.
Možda najšokantniji dio? Iz perspektive vlasnika, nije bilo obavijesti ili upozorenja da je pristupljeno njihovom vozilu ili da je njihov račun promijenjen. To je u biti bilo tiho preuzimanje.
Kijin odgovor
Srećom, nakon što su ranjivosti prijavljene Kiji u lipnju 2024., proizvođač automobila je djelovao. Do sredine kolovoza implementirali su popravak za rješavanje nedostataka i zaštitu svojih vozila od daljinskih eksploatacija. Iako je zakrpa mnogima olakšala, to je snažan podsjetnik koliko su naša vozila postala povezana i koliko mogu biti ranjiva na kibernetičke napade.
Što je sljedeće za sigurnost vozila?
Kako sve više proizvođača automobila integrira naprednu tehnologiju i internetske sustave u svoje automobile, rizik od kibernetičkih prijetnji je u porastu. Incident s Kijom služi kao poziv na uzbunu, naglašavajući važnost snažne kibernetičke sigurnosti u modernim vozilima. Kako se automobilska industrija razvija, tako se moraju razvijati i sigurnosni protokoli osmišljeni kako bi automobile i vozače zaštitili od digitalnih prijetnji.
Ova bi epizoda trebala potaknuti proizvođače automobila, a posebno Kiju, da stalno preispituju i ažuriraju svoje sigurnosne mjere. Za vlasnike vozila ključno je da budu informirani, promptno primjenjuju ažuriranja i budu svjesni svih potencijalnih sigurnosnih nedostataka koji bi se mogli pojaviti u ovom dobu povezanih automobila.
Digitalna budućnost automobila je uzbudljiva, ali dolazi i sa značajnim rizicima - onima koji zahtijevaju posebnu pozornost kako bi svi na cesti bili sigurni od fizičkih i digitalnih prijetnji.