Miljoniem Kia transportlīdzekļu apdraud satraucoša attālināta uzlaušanas ievainojamība
Atvēsinoši atklājot, drošības pētnieki nesen atklāja nopietnas ievainojamības Kia tiešsaistes sistēmās, kas atstāja miljoniem transportlīdzekļu neaizsargātus pret attālinātu uzlaušanu. Tas nebija tikai par piekļuvi dažām nesvarīgām funkcijām. Atklātie trūkumi varēja sniegt hakeriem tiesības kontrolēt galvenās transportlīdzekļa funkcijas, veicot dažas vienkāršas darbības.
Satura rādītājs
Bīstamā ekspluatācija
Iedomājieties šo: ja nav nekas vairāk kā jūsu automašīnas numura zīmes numurs, hakeris varētu iegūt kontroli pār jūsu transportlīdzekli mazāk nekā 30 sekunžu laikā. Satraucoši, vai ne? Sems Karijs, kiberdrošības pētnieks, kopā ar trīs citu ekspertu komandu atklāja šos satraucošos trūkumus Kia īpašnieku portālā — tiešsaistes sistēmā, kas savieno transportlīdzekļu īpašniekus ar viņu automašīnām.
Ievainojamības ne tikai pavēra durvis transportlīdzekļu tālvadībai, bet arī atklāja personiskās informācijas dārgumu krātuvi. Tādu informāciju kā automašīnas īpašnieka vārds, adrese, e-pasta adrese un tālruņa numurs var iegūt bez piepūles. Iespējams, vēl vairāk satrauc tas, ka uzbrucēji var izveidot otru lietotāja profilu, īpašniekam to nezinot, ļaujot tiem nosūtīt transportlīdzeklim komandas, piemēram, atslēgt durvis vai pat iedarbināt dzinēju.
Tehniskais sadalījums
Tātad, kā šīs ievainojamības izslīdēja cauri plaisām? Pēc Karija teiktā, Kia īpašnieku vietne nebija tikai portāls transportlīdzekļa informācijas pārbaudei – tajā bija iespēja izpildīt komandas no interneta uz transportlīdzekli. Šī funkcionalitāte bija iespējama, izmantojot aizmugursistēmas reverso starpniekserveri, kas novirzīja šīs komandas uz API, kas atbild par darbību veikšanu.
Turklāt Kia izplatītāju infrastruktūra radīja līdzīgus riskus. Pēc reģistrācijas dīlera vietnē varēja manipulēt ar to pašu pieprasījumu, kas tika izmantots Kia īpašnieku portāla reģistrācijai. Pētnieki varēja iegūt piekļuves pilnvaru, ļaujot viņiem izsaukt aizmugures izplatītāja API.
Vienkārši izsakoties, sistēma nodotu karalistes atslēgas. Izmantojot šīs ievainojamības, hakeri varētu izgūt sensitīvus personas datus un pat aizstāt īpašnieka e-pasta adresi, tādējādi kļūstot par primārajiem konta īpašniekiem. No turienes viņi varēja nosūtīt komandas uz transportlīdzekli, neradot īpašniekam nekādas aizdomas.
Trūkums ar milzīgu sasniedzamību
Viens no satraucošākajiem šīs ievainojamības aspektiem bija tās darbības joma. Karija komanda spēja izveidot koncepcijas pierādījumu paneli, kas ļāva viņiem ierakstīt numura zīmi, izgūt īpašnieka personisko informāciju un dot transportlīdzeklim komandas. Pēc Karija domām, jebkurš Kia modelis, kas ražots pēc 2013. gada, bija potenciāli apdraudēts.
Kad tas ir apdraudēts, hakeris varēja izsekot automašīnai, manipulēt ar tādām funkcijām kā durvju atslēgšana, skaņas signāla skaņas signāls vai dzinēja iedarbināšana — tas viss, izmantojot tastatūru.
Varbūt šokējošākā daļa? No īpašnieka viedokļa nebija nekādu paziņojumu vai brīdinājumu, ka ir piekļūts viņa transportlīdzeklim vai mainīts viņa konts. Būtībā tā bija klusa pārņemšana.
Kia atbilde
Par laimi, pēc tam, kad 2024. gada jūnijā Kia tika ziņots par ievainojamībām, autoražotājs rīkojās. Līdz augusta vidum viņi ieviesa labojumus, lai novērstu trūkumus un aizsargātu savus transportlīdzekļus no attālas izmantošanas. Lai gan ielāps daudziem bija atvieglojums, tas ir stingrs atgādinājums par to, cik saistīti ir kļuvuši mūsu transportlīdzekļi un cik neaizsargāti tie var būt pret kiberuzbrukumiem.
Kas tālāk par transportlīdzekļu drošību?
Tā kā arvien vairāk autoražotāju savās automašīnās integrē progresīvas tehnoloģijas un interneta sistēmas, pieaug kiberdraudu risks. Kia incidents kalpo kā trauksmes zvans, uzsverot spēcīgas kiberdrošības nozīmi mūsdienu transportlīdzekļos. Automobiļu rūpniecībai attīstoties, ir jāveido arī drošības protokoli, kas paredzēti, lai gan automašīnas, gan autovadītāji būtu pasargāti no digitālajiem draudiem.
Šai epizodei vajadzētu mudināt autoražotājus un jo īpaši Kia pastāvīgi pārskatīt un atjaunināt savus drošības pasākumus. Transportlīdzekļu īpašniekiem ir ļoti svarīgi būt informētiem, nekavējoties lietot atjauninājumus un apzināties visas iespējamās drošības nepilnības, kas varētu rasties šajā savienoto automašīnu laikmetā.
Automašīnu digitālā nākotne ir aizraujoša, taču tā ir saistīta arī ar ievērojamiem riskiem — tiem, kam nepieciešama rūpīga uzmanība, lai ikviens uz ceļa būtu pasargāts gan no fiziskiem, gan digitāliem draudiem.