डरलाग्दो रिमोट ह्याकिंग जोखिमको जोखिममा लाखौं किआ वाहनहरू
एउटा चिसो खुलासामा, सुरक्षा अनुसन्धानकर्ताहरूले हालै किआको अनलाइन प्रणालीहरूमा गम्भीर कमजोरीहरू पत्ता लगाए जसले लाखौं सवारी साधनहरू रिमोट ह्याकिङको जोखिममा परेका छन्। यो केहि महत्वहीन सुविधाहरू पहुँच गर्ने बारे मात्र थिएन। पत्ता लगाइएका त्रुटिहरूले ह्याकरहरूलाई केही सरल चरणहरूका साथ प्रमुख सवारी साधनहरू नियन्त्रण गर्ने शक्ति दिन सक्छ।
सामग्रीको तालिका
खतरनाक शोषण
यो कल्पना गर्नुहोस्: तपाईंको कारको लाइसेन्स प्लेट नम्बर बाहेक अरू केही छैन, ह्याकरले सम्भावित रूपमा 30 सेकेन्डमा तपाईंको गाडीको नियन्त्रण लिन सक्छ। चिन्ताजनक, सही? साइबरसुरक्षा अनुसन्धानकर्ता सैम करी, तीन अन्य विज्ञहरूको टोलीसँगै, किआ मालिकहरूको पोर्टलमा यी असन्तुष्ट त्रुटिहरू पत्ता लगाए - सवारी साधन मालिकहरूलाई उनीहरूको कारमा जोड्ने अनलाइन प्रणाली।
कमजोरीहरूले सवारी साधनहरूको रिमोट कन्ट्रोलको ढोका मात्र खोलेनन् तर व्यक्तिगत जानकारीको खजाना पनि उजागर गर्यो। कार मालिकको नाम, ठेगाना, इमेल ठेगाना, र फोन नम्बर जस्ता विवरणहरू सहजै निकाल्न सकिन्छ। हुनसक्छ अझ बढी, आक्रमणकारीहरूले मालिकलाई थाहा नदिई दोस्रो प्रयोगकर्ता प्रोफाइल सिर्जना गर्न सक्छन्, उनीहरूलाई गाडीमा आदेशहरू पठाउन सक्षम पार्दै जस्तै ढोका खोल्ने वा इन्जिन सुरु गर्ने।
प्राविधिक ब्रेकडाउन
त्यसोभए यी कमजोरीहरू दरारहरूबाट कसरी चिप्लिए? करीका अनुसार, किआ मालिकहरूको वेबसाइट वाहन जानकारी जाँच गर्ने पोर्टल मात्र थिएन - यसमा इन्टरनेट-देखि-वाहन आदेशहरू कार्यान्वयन गर्ने क्षमता थियो। यो कार्यक्षमता ब्याकइन्ड रिभर्स प्रोक्सी मार्फत सम्भव भएको थियो जसले यी आदेशहरूलाई कार्यहरू पूरा गर्न जिम्मेवार API मा निर्देशित गर्यो।
थप रूपमा, किआ डीलरशिप पूर्वाधारले समान जोखिम खडा गर्यो। डीलरशिप साइटमा दर्ता गरेपछि, किआको मालिकहरूको पोर्टल दर्ताको लागि प्रयोग गरिएको उही अनुरोधलाई हेरफेर गर्न सकिन्छ। शोधकर्ताहरूले पहुँच टोकन प्राप्त गर्न सक्षम थिए, तिनीहरूलाई ब्याकएन्ड डीलर API कल गर्न अनुमति दिँदै।
सरल शब्दहरूमा, प्रणालीले राज्यको चाबीहरू हस्तान्तरण गर्नेछ। यी कमजोरीहरूको शोषण गरेर, ह्याकरहरूले संवेदनशील व्यक्तिगत डेटा पुन: प्राप्त गर्न सक्छन् र मालिकको इमेल ठेगाना पनि बदल्न सक्छन्, आफैलाई प्राथमिक खाता धारकहरू बनाउन। त्यहाँबाट, तिनीहरूले सवारी साधनलाई आदेशहरू पठाउन सक्थे - सबै मालिकको अन्तमा कुनै शंका नगरी।
विशाल पहुँच संग एक त्रुटि
यस जोखिमको सबैभन्दा असन्तुष्ट पक्षहरू मध्ये एक यसको दायरा थियो। करीको टोलीले एक प्रमाण-अवधारणा ड्यासबोर्ड सिर्जना गर्न सक्षम भयो जसले तिनीहरूलाई इजाजतपत्र प्लेटमा टाइप गर्न, मालिकको व्यक्तिगत जानकारी पुन: प्राप्त गर्न, र गाडीलाई आदेशहरू जारी गर्न अनुमति दियो। करीका अनुसार 2013 पछि निर्मित कुनै पनि Kia मोडल सम्भावित जोखिममा थियो।
एक पटक सम्झौता गरेपछि, ह्याकरले कार ट्र्याक गर्न, ढोका खोल्ने, हर्न बजाउने, वा इन्जिन सुरु गर्ने जस्ता सुविधाहरू हेरफेर गर्न सक्छ - सबै किबोर्डको आरामबाट।
सायद सबैभन्दा चौंकाउने भाग? मालिकको दृष्टिकोणबाट, त्यहाँ कुनै सूचना वा अलर्टहरू थिएनन् कि तिनीहरूको गाडी पहुँच गरिएको थियो वा तिनीहरूको खाता परिवर्तन गरियो। यो मूलतः एक मौन अधिग्रहण थियो।
Kia को प्रतिक्रिया
धन्यबाद, जुन 2024 मा Kia लाई कमजोरीहरू रिपोर्ट गरेपछि, अटोमेकरले काम गर्यो। अगस्टको मध्यसम्ममा, तिनीहरूले त्रुटिहरूलाई सम्बोधन गर्न र दुर्गम शोषणहरूबाट आफ्ना सवारी साधनहरूलाई जोगाउन एक समाधान लागू गरे। यो प्याच धेरैका लागि राहतको रूपमा आएको भए तापनि हाम्रा सवारी साधनहरू कत्तिको जोडिएका छन् र तिनीहरू साइबर आक्रमणको लागि कत्तिको जोखिममा पर्न सक्छन् भन्ने कुराको स्पष्ट सम्झना हो।
सवारी साधनको सुरक्षाको लागि अर्को के छ?
थप अटोमेकरहरूले आफ्ना कारहरूमा उन्नत प्रविधि र इन्टरनेट-आधारित प्रणालीहरू एकीकृत गर्दा, साइबर खतराहरूको जोखिम बढ्दै गएको छ। किआ घटनाले आधुनिक सवारी साधनहरूमा बलियो साइबरसुरक्षाको महत्त्वलाई उजागर गर्दै जागरणको रूपमा काम गर्छ। जसरी अटो उद्योगको विकास हुन्छ, त्यसैगरी कार र चालक दुवैलाई डिजिटल खतराहरूबाट सुरक्षित राख्नको लागि डिजाइन गरिएको सुरक्षा प्रोटोकलहरू पनि हुनुपर्छ।
यो एपिसोडले अटोमेकरहरू र विशेष गरी Kia लाई उनीहरूको सुरक्षा उपायहरूको निरन्तर समीक्षा र अद्यावधिक गर्न प्रेरित गर्नुपर्छ। सवारी साधन मालिकहरूका लागि, यो जानकारी रहन महत्त्वपूर्ण छ, अद्यावधिकहरू तुरुन्तै लागू गर्नुहोस्, र जडान गरिएका कारहरूको यो युगमा उत्पन्न हुन सक्ने सम्भावित सुरक्षा त्रुटिहरू बारे सचेत रहनुहोस्।
कारहरूको डिजिटल भविष्य रोमाञ्चक छ, तर यसमा महत्त्वपूर्ण जोखिमहरू पनि आउँछन्- जसले सडकमा रहेका सबैलाई भौतिक र डिजिटल खतराहरूबाट सुरक्षित राख्न सावधानीपूर्वक ध्यान दिन आवश्यक छ।