Miliony pojazdów Kia zagrożone alarmującą podatnością na zdalne hakowanie
W przerażającym odkryciu badacze bezpieczeństwa niedawno odkryli poważne luki w zabezpieczeniach systemów online Kia, które naraziły miliony pojazdów na zdalne hakowanie. Nie chodziło tylko o dostęp do kilku nieistotnych funkcji. Odkryte luki mogły dać hakerom możliwość kontrolowania kluczowych funkcji pojazdu, a wszystko to za pomocą kilku prostych kroków.
Spis treści
Niebezpieczny wyczyn
Wyobraź sobie: mając jedynie numer rejestracyjny Twojego samochodu, haker może potencjalnie przejąć kontrolę nad Twoim pojazdem w mniej niż 30 sekund. Alarmujące, prawda? Sam Curry, badacz cyberbezpieczeństwa, wraz z zespołem trzech innych ekspertów odkrył te niepokojące wady w portalu właścicieli samochodów Kia — internetowym systemie łączącym właścicieli pojazdów z ich samochodami.
Luki nie tylko otworzyły drzwi do zdalnego sterowania pojazdami, ale także ujawniły skarbnicę danych osobowych. Dane takie jak imię i nazwisko właściciela samochodu, adres, adres e-mail i numer telefonu można było bez wysiłku wyodrębnić. Być może jeszcze bardziej niepokojące jest to, że atakujący mogli utworzyć drugi profil użytkownika bez wiedzy właściciela, co umożliwiło im wysyłanie poleceń do pojazdu, takich jak odblokowywanie drzwi lub nawet uruchamianie silnika.
Awaria techniczna
Jak więc te luki w zabezpieczeniach prześlizgnęły się przez szpary? Według Curry'ego strona internetowa właścicieli Kii nie była tylko portalem do sprawdzania informacji o pojazdach — miała możliwość wykonywania poleceń z Internetu do pojazdu. Ta funkcjonalność była możliwa dzięki odwrotnemu proxy zaplecza, które kierowało te polecenia do API odpowiedzialnego za wykonywanie działań.
Ponadto infrastruktura salonu dealerskiego Kia stwarzała podobne ryzyko. Po zarejestrowaniu się na stronie salonu dealerskiego można było manipulować tym samym żądaniem używanym do rejestracji w portalu właścicieli Kia. Badaczom udało się uzyskać token dostępu, umożliwiający im wywoływanie interfejsów API dealerów zaplecza.
Mówiąc prościej, system przekazywałby klucze do królestwa. Wykorzystując te luki, hakerzy mogliby odzyskać poufne dane osobowe, a nawet podmienić adres e-mail właściciela, stając się głównymi posiadaczami konta. Stamtąd mogliby wysyłać polecenia do pojazdu — wszystko to bez wzbudzania podejrzeń u właściciela.
Wada o ogromnym zasięgu
Jednym z najbardziej niepokojących aspektów tej podatności był jej zakres. Zespół Curry'ego był w stanie stworzyć panel proof-of-concept, który pozwalał im wpisać numer rejestracyjny, pobrać dane osobowe właściciela i wydawać polecenia pojazdowi. Według Curry'ego każdy model Kii wyprodukowany po 2013 r. był potencjalnie zagrożony.
Po włamaniu haker mógł śledzić samochód, manipulować jego funkcjami, takimi jak odblokowywanie drzwi, trąbienie klaksonem czy uruchamianie silnika — wszystko z poziomu klawiatury.
Być może najbardziej szokująca część? Z perspektywy właściciela nie było żadnych powiadomień ani alertów, że ktoś uzyskał dostęp do jego pojazdu lub zmienił jego konto. To było w zasadzie ciche przejęcie.
Odpowiedź Kii
Na szczęście po tym, jak w czerwcu 2024 r. Kia została poinformowana o lukach, producent samochodów podjął działania. W połowie sierpnia wdrożyli poprawkę, aby naprawić błędy i chronić swoje pojazdy przed zdalnymi atakami. Chociaż poprawka była dla wielu ulgą, jest to wyraźne przypomnienie, jak bardzo połączone stały się nasze pojazdy i jak podatne mogą być na cyberataki.
Co nowego w kwestii bezpieczeństwa pojazdów?
Wraz ze wzrostem liczby producentów samochodów integrujących zaawansowaną technologię i systemy oparte na Internecie w swoich samochodach, ryzyko cyberzagrożeń rośnie. Incydent Kii jest sygnałem ostrzegawczym, podkreślającym znaczenie solidnego cyberbezpieczeństwa w nowoczesnych pojazdach. Wraz z rozwojem przemysłu samochodowego, muszą ewoluować również protokoły bezpieczeństwa zaprojektowane w celu ochrony samochodów i kierowców przed zagrożeniami cyfrowymi.
Ten odcinek powinien zachęcić producentów samochodów, a zwłaszcza Kię, do ciągłego przeglądu i aktualizacji środków bezpieczeństwa. Dla właścicieli pojazdów kluczowe jest, aby być na bieżąco, szybko stosować aktualizacje i być świadomym wszelkich potencjalnych luk w zabezpieczeniach, które mogą pojawić się w tej erze samochodów podłączonych do sieci.
Cyfrowa przyszłość samochodów jest ekscytująca, ale niesie ze sobą również poważne zagrożenia, na które należy zwrócić szczególną uwagę, aby zapewnić bezpieczeństwo wszystkim użytkownikom dróg, zarówno przed zagrożeniami fizycznymi, jak i cyfrowymi.