Berjuta-juta Kenderaan Kia Berisiko Kerentanan Penggodaman Jauh yang Membimbangkan
Dalam satu pendedahan yang menyeramkan, penyelidik keselamatan baru-baru ini mendedahkan kelemahan serius dalam sistem dalam talian Kia yang menyebabkan berjuta-juta kenderaan terdedah kepada penggodaman jauh. Ini bukan hanya tentang mengakses beberapa ciri yang tidak penting. Kelemahan yang ditemui boleh memberi penggodam kuasa untuk mengawal fungsi kenderaan utama, semuanya dengan beberapa langkah mudah.
Isi kandungan
Eksploitasi Berbahaya
Bayangkan ini: dengan tidak lebih daripada nombor plat kereta anda, penggodam berkemungkinan dapat mengawal kenderaan anda dalam masa kurang dari 30 saat. Membimbangkan, bukan? Sam Curry, seorang penyelidik keselamatan siber, bersama pasukan tiga pakar lain, menemui kelemahan yang membimbangkan ini dalam portal pemilik Kia—sistem dalam talian yang menghubungkan pemilik kenderaan dengan kereta mereka.
Kelemahan itu bukan sahaja membuka pintu kepada kawalan jauh kenderaan tetapi juga mendedahkan harta karun maklumat peribadi. Butiran seperti nama pemilik kereta, alamat, alamat e-mel dan nombor telefon boleh diekstrak dengan mudah. Mungkin lebih membimbangkan, penyerang boleh mencipta profil pengguna kedua tanpa diketahui pemiliknya, membolehkan mereka menghantar arahan kepada kenderaan seperti membuka kunci pintu atau menghidupkan enjin.
Pecahan Teknikal
Jadi bagaimana kelemahan ini tergelincir melalui celah-celah? Menurut Curry, laman web pemilik Kia bukan sekadar portal untuk menyemak maklumat kenderaan—ia mempunyai keupayaan untuk melaksanakan arahan internet-ke-kenderaan. Kefungsian ini dimungkinkan melalui proksi terbalik bahagian belakang yang mengarahkan arahan ini kepada API yang bertanggungjawab untuk menjalankan tindakan.
Selain itu, infrastruktur pengedar Kia menimbulkan risiko yang sama. Selepas mendaftar di tapak pengedar, permintaan yang sama digunakan untuk pendaftaran portal pemilik Kia boleh dimanipulasi. Para penyelidik dapat memperoleh token akses, membolehkan mereka memanggil API peniaga bahagian belakang.
Secara ringkas, sistem itu akan menyerahkan kunci kepada kerajaan. Dengan mengeksploitasi kelemahan ini, penggodam boleh mendapatkan semula data peribadi yang sensitif dan juga menggantikan alamat e-mel pemilik, menjadikan diri mereka pemegang akaun utama. Dari situ, mereka boleh menghantar arahan kepada kenderaan itu—semuanya tanpa menimbulkan sebarang syak wasangka kepada pemiliknya.
Cacat Dengan Jangkauan Besar-besaran
Salah satu aspek yang paling mengganggu kerentanan ini ialah skopnya. Pasukan Curry dapat mencipta papan pemuka bukti konsep yang membolehkan mereka menaip plat lesen, mendapatkan maklumat peribadi pemilik dan mengeluarkan arahan kepada kenderaan. Menurut Curry, mana-mana model Kia yang dikeluarkan selepas 2013 berpotensi berisiko.
Setelah dikompromi, penggodam boleh menjejaki kereta, memanipulasi ciri seperti membuka kunci pintu, membunyikan hon atau menghidupkan enjin—semuanya dari keselesaan papan kekunci.
Mungkin bahagian yang paling mengejutkan? Dari perspektif pemilik, tiada pemberitahuan atau makluman bahawa kenderaan mereka telah diakses atau akaun mereka diubah. Ia pada asasnya adalah pengambilalihan senyap.
Jawapan Kia
Syukurlah, selepas kelemahan itu dilaporkan kepada Kia pada Jun 2024, pembuat kereta itu bertindak. Menjelang pertengahan Ogos, mereka melaksanakan pembaikan untuk menangani kelemahan dan melindungi kenderaan mereka daripada eksploitasi jauh. Walaupun tampalan itu melegakan ramai pihak, ia merupakan peringatan yang jelas tentang bagaimana kenderaan kita disambungkan dan betapa terdedahnya kenderaan kita kepada serangan siber.
Apa Seterusnya untuk Keselamatan Kenderaan?
Dengan lebih banyak pembuat kereta menyepadukan teknologi canggih dan sistem berasaskan internet ke dalam kereta mereka, risiko ancaman siber semakin meningkat. Insiden Kia berfungsi sebagai panggilan bangun, menonjolkan kepentingan keselamatan siber yang teguh dalam kenderaan moden. Memandangkan industri automotif berkembang, protokol keselamatan juga mesti direka untuk memastikan kedua-dua kereta dan pemandu selamat daripada ancaman digital.
Episod ini harus mendorong pembuat kereta, dan Kia terutamanya, untuk sentiasa menyemak dan mengemas kini langkah keselamatan mereka. Bagi pemilik kenderaan, adalah penting untuk kekal dimaklumkan, memohon kemas kini dengan segera dan mengetahui sebarang kemungkinan kecacatan keselamatan yang mungkin timbul pada zaman kereta yang bersambung ini.
Masa depan digital kereta adalah menarik, tetapi ia juga datang dengan risiko yang ketara—yang memerlukan perhatian yang teliti untuk memastikan semua orang di jalan raya selamat daripada ancaman fizikal dan digital.