Kia járművek millióit fenyegeti a riasztó távoli feltörés veszélye
A biztonsági kutatók a közelmúltban dermesztő leleplezésként olyan súlyos sebezhetőségeket tártak fel a Kia online rendszereiben, amelyek több millió járművet tettek sebezhetővé a távoli feltörésekkel szemben. Ez nem csak néhány lényegtelen funkció eléréséről szólt. A felfedezett hibák néhány egyszerű lépéssel hatalmat adhattak a hackereknek a jármű kulcsfontosságú funkcióinak vezérlésére.
Tartalomjegyzék
A veszélyes kizsákmányolás
Képzelje el ezt: az autó rendszámán kívül egy hacker kevesebb mint 30 másodperc alatt átveheti az irányítást a jármű felett. Riasztó, igaz? Sam Curry, egy kiberbiztonsági kutató egy másik három szakértőből álló csapattal együtt fedezte fel ezeket a nyugtalanító hibákat a Kia-tulajdonosok portálján – egy online rendszerben, amely összeköti a járműtulajdonosokat az autóikkal.
A sérülékenységek nemcsak a járművek távvezérléséhez nyitottak ajtót, hanem személyes adatok kincsesbányáját is feltárták. Az olyan részletek, mint az autó tulajdonosának neve, címe, e-mail címe és telefonszáma, könnyedén kinyerhetők. Talán még ennél is aggasztóbb, hogy a támadók a tulajdonos tudomása nélkül létrehozhatnak egy második felhasználói profilt, amely lehetővé teszi számukra, hogy parancsokat küldjenek a járműnek, például az ajtók kinyitását vagy akár a motor beindítását.
A műszaki meghibásodás
Szóval hogyan csúsztak át ezek a sérülékenységek? Curry szerint a Kia-tulajdonosok webhelye nem csupán egy portál volt a járművek információinak ellenőrzésére, hanem képes volt végrehajtani az internetről a járműre parancsokat. Ezt a funkciót egy backend fordított proxy tette lehetővé, amely ezeket a parancsokat a műveletek végrehajtásáért felelős API-hoz irányította.
Ezenkívül a Kia márkakereskedési infrastruktúra hasonló kockázatokat rejtett magában. A márkakereskedési oldalon történő regisztrációt követően a Kia tulajdonosi portáljának regisztrációjához használt kérés manipulálható volt. A kutatók hozzáférési jogkivonatot tudtak szerezni, lehetővé téve számukra a háttérkereskedői API-k hívását.
Egyszerűen fogalmazva, a rendszer átadná a királyság kulcsait. E sérülékenységek kihasználásával a hackerek érzékeny személyes adatokat szerezhetnek be, és akár a tulajdonos e-mail címét is lecserélhetik, így ők lehetnek az elsődleges fióktulajdonosok. Innentől parancsokat küldhettek a járműnek – mindezt anélkül, hogy gyanút keltettek volna a tulajdonosban.
Hiba hatalmas kiterjedéssel
A sebezhetőség egyik legnyugtalanítóbb aspektusa a hatókör volt. Curry csapata képes volt létrehozni egy koncepcionális műszerfalat, amely lehetővé tette számukra a rendszám beírását, a tulajdonos személyes adatainak lekérését, és parancsok kiadását a járműnek. Curry szerint minden 2013 után gyártott Kia modell veszélyben volt.
A kompromittálódást követően a hacker nyomon követheti az autót, manipulálhatja az olyan funkciókat, mint az ajtók kinyitása, a kürt megszólalása vagy a motor beindítása – mindezt a billentyűzet kényelméről.
Talán a legmegrázóbb rész? A tulajdonos szemszögéből nem érkezett értesítés vagy riasztás arról, hogy a járművéhez hozzáfértek, vagy megváltoztatták a fiókját. Ez lényegében egy csendes hatalomátvétel volt.
Kia válasza
Szerencsére, miután 2024 júniusában jelentették a sérülékenységet a Kiának, az autógyártó cselekedett. Augusztus közepére végrehajtottak egy javítást a hibák kijavítására, és megvédik járműveiket a távoli kizsákmányolásoktól. Noha a javítás sokak számára megkönnyebbülést jelentett, határozottan emlékeztet arra, hogy járműveink mennyire összekapcsolódtak, és mennyire sebezhetőek lehetnek a kibertámadásokkal szemben.
Mi a következő lépés a járműbiztonsággal kapcsolatban?
Mivel egyre több autógyártó integrálja a fejlett technológiát és az internetalapú rendszereket autóiba, a kiberfenyegetések kockázata nő. A Kia-incidens ébresztőként szolgál, rávilágítva a robusztus kiberbiztonság fontosságára a modern járművekben. Az autóipar fejlődésével párhuzamosan a biztonsági protokolloknak is meg kell őrizniük az autókat és a vezetőket a digitális fenyegetésekkel szemben.
Ez az epizód arra készteti az autógyártókat, és különösen a Kiát, hogy folyamatosan vizsgálják felül és frissítsék biztonsági intézkedéseiket. A járműtulajdonosok számára kulcsfontosságú, hogy tájékozottak maradjanak, azonnal alkalmazzák a frissítéseket, és tisztában legyenek az esetleges biztonsági hibákkal, amelyek a csatlakoztatott autók korában felmerülhetnek.
Az autók digitális jövője izgalmas, de jelentős kockázatokkal is jár – olyanokkal, amelyek gondos odafigyelést igényelnek, hogy mindenki biztonságban legyen az úton mind a fizikai, mind a digitális fenyegetésekkel szemben.