Milijonams „Kia“ transporto priemonių kyla nerimą keliantis nuotolinio įsilaužimo pažeidžiamumas
Saugumo tyrinėtojai neseniai atskleidė rimtus Kia internetinių sistemų pažeidžiamumus, dėl kurių milijonai transporto priemonių buvo pažeidžiami nuotolinio įsilaužimo. Tai buvo ne tik galimybė pasiekti keletą nesvarbių funkcijų. Aptikti trūkumai galėjo suteikti įsilaužėliams galią valdyti pagrindines transporto priemonės funkcijas, atlikdami kelis paprastus veiksmus.
Turinys
Pavojingas išnaudojimas
Įsivaizduokite tai: neturėdamas nieko daugiau, nei jūsų automobilio valstybinio numerio numerį, įsilaužėlis gali valdyti jūsų automobilį per mažiau nei 30 sekundžių. Nerimą kelianti, tiesa? Kibernetinio saugumo tyrinėtojas Samas Curry kartu su dar trijų ekspertų komanda atrado šiuos nerimą keliančius trūkumus „Kia“ savininkų portale – internetinėje sistemoje, jungiančioje transporto priemonių savininkus su jų automobiliais.
Pažeidžiamumas ne tik atvėrė duris nuotoliniam transporto priemonių valdymui, bet ir atskleidė asmeninės informacijos lobyną. Išsamią informaciją, pvz., automobilio savininko vardą, pavardę, adresą, el. pašto adresą ir telefono numerį, galima lengvai išgauti. Galbūt dar labiau rūpi tai, kad užpuolikai gali sukurti antrą vartotojo profilį savininkui to nežinant, kad galėtų siųsti komandas į transporto priemonę, pavyzdžiui, atrakinti duris ar net užvesti variklį.
Techninis gedimas
Taigi, kaip šie pažeidžiamumai praslydo pro plyšius? Curry teigimu, „Kia“ savininkų svetainė buvo ne tik portalas, skirtas transporto priemonės informacijai tikrinti – joje buvo galima vykdyti komandas iš interneto į transporto priemonę. Ši funkcija buvo įmanoma naudojant atgalinį tarpinį serverį, kuris šias komandas nukreipė į API, atsakingą už veiksmų atlikimą.
Be to, Kia atstovybių infrastruktūra kėlė panašią riziką. Užsiregistravus prekybos atstovų svetainėje, buvo galima manipuliuoti ta pačia užklausa, kuri buvo naudojama registruojantis Kia savininkų portale. Tyrėjai galėjo gauti prieigos prieigos raktą, leidžiantį jiems paskambinti atgalinio platintojo API.
Paprastai tariant, sistema perduotų karalystės raktus. Išnaudodami šias spragas, įsilaužėliai gali gauti slaptus asmens duomenis ir netgi pakeisti savininko el. pašto adresą, tapdami pagrindiniais paskyros savininkais. Iš ten jie galėjo siųsti komandas į transporto priemonę, nesukeldami savininkui jokio įtarimo.
Didelio pasiekiamumo trūkumas
Vienas iš labiausiai nerimą keliančių šio pažeidžiamumo aspektų buvo jo apimtis. Curry komanda sugebėjo sukurti koncepcijos įrodymo prietaisų skydelį, leidžiantį įvesti valstybinį numerį, gauti savininko asmeninę informaciją ir duoti komandas transporto priemonei. Curry teigimu, bet kuriam „Kia“ modeliui, pagamintam po 2013 m., gali kilti pavojus.
Patekęs į pavojų, įsilaužėlis galėjo sekti automobilį, manipuliuoti tokiomis funkcijomis kaip durų atrakinimas, garso signalo davimas ar variklio užvedimas – visa tai patogiai naudodamas klaviatūrą.
Galbūt labiausiai šokiruojanti dalis? Žvelgiant iš savininko perspektyvos, nebuvo jokių pranešimų ar įspėjimų, kad buvo pasiekta jo transporto priemonė arba pakeista paskyra. Iš esmės tai buvo tylus perėmimas.
„Kia“ atsakymas
Laimei, 2024 m. birželį „Kia“ pranešus apie pažeidžiamumą, automobilių gamintojas ėmėsi veiksmų. Iki rugpjūčio vidurio jie įgyvendino pataisymą, kad pašalintų trūkumus ir apsaugotų savo transporto priemones nuo nuotolinio išnaudojimo. Nors pleistras daugeliui buvo palengvėjimas, tai ryškus priminimas, kaip susietos mūsų transporto priemonės ir kaip jos gali būti pažeidžiamos kibernetinėms atakoms.
Kas toliau dėl transporto priemonių saugumo?
Vis daugiau automobilių gamintojų į savo automobilius integruoja pažangias technologijas ir internetines sistemas, kibernetinių grėsmių rizika didėja. „Kia“ incidentas yra pažadinimo skambutis, pabrėžiantis tvirto kibernetinio saugumo šiuolaikinėse transporto priemonėse svarbą. Tobulėjant automobilių pramonei, taip pat turi būti sukurti saugos protokolai, skirti apsaugoti automobilius ir vairuotojus nuo skaitmeninių grėsmių.
Šis epizodas turėtų paskatinti automobilių gamintojus, o ypač „Kia“, nuolat peržiūrėti ir atnaujinti savo saugumo priemones. Transporto priemonių savininkams labai svarbu būti informuotam, nedelsiant pritaikyti naujinimus ir žinoti apie galimus saugumo trūkumus, kurie gali iškilti šiame prijungtų automobilių amžiuje.
Skaitmeninė automobilių ateitis yra įdomi, tačiau ji taip pat susijusi su didelėmis rizikomis – tokiomis, kurioms reikia atidžiai stebėti, kad visi kelyje esantys būtų saugūs nuo fizinių ir skaitmeninių grėsmių.