Миллионы автомобилей Kia подвержены риску тревожной уязвимости удаленного взлома
В леденящем душу откровении исследователи безопасности недавно обнаружили серьезные уязвимости в онлайн-системах Kia, которые сделали миллионы автомобилей уязвимыми для удаленного взлома. Речь шла не только о доступе к нескольким неважным функциям. Обнаруженные недостатки могли дать хакерам возможность контролировать ключевые функции автомобиля, всего за несколько простых шагов.
Оглавление
Опасный подвиг
Представьте себе: имея только номерной знак вашего автомобиля, хакер может получить контроль над вашим транспортным средством менее чем за 30 секунд. Тревожно, не правда ли? Сэм Карри, исследователь кибербезопасности, вместе с командой из трех других экспертов обнаружили эти тревожные недостатки в портале владельцев Kia — онлайн-системе, которая связывает владельцев транспортных средств с их автомобилями.
Уязвимости не только открыли дверь к удаленному управлению транспортными средствами, но и раскрыли кладезь личной информации. Такие данные, как имя владельца автомобиля, адрес, адрес электронной почты и номер телефона, можно было извлечь без особых усилий. Возможно, еще более тревожным было то, что злоумышленники могли создать второй профиль пользователя без ведома владельца, что позволяло им отправлять команды транспортному средству, например, разблокировать двери или даже запустить двигатель.
Технический сбой
Так как же эти уязвимости проскользнули сквозь щели? По словам Карри, веб-сайт владельцев Kia был не просто порталом для проверки информации о транспортном средстве — он имел возможность выполнять команды «из интернета в транспортное средство». Эта функциональность стала возможной благодаря обратному прокси-серверу на бэкэнде, который направлял эти команды в API, отвечающий за выполнение действий.
Кроме того, инфраструктура дилерского центра Kia представляла собой аналогичные риски. После регистрации на сайте дилерского центра тот же запрос, который использовался для регистрации на портале владельцев Kia, мог быть изменен. Исследователи смогли получить токен доступа, позволяющий им вызывать API бэкэнд-дилера.
Проще говоря, система передала бы ключи от королевства. Эксплуатируя эти уязвимости, хакеры могли бы получить конфиденциальные персональные данные и даже подменить адрес электронной почты владельца, сделав себя основными держателями аккаунта. Оттуда они могли бы отправлять команды в транспортное средство — и все это, не вызывая никаких подозрений у владельца.
Недостаток с огромным охватом
Одним из самых тревожных аспектов этой уязвимости был ее масштаб. Команда Карри смогла создать контрольную панель, которая позволяла им вводить номерной знак, получать персональные данные владельца и отдавать команды автомобилю. По словам Карри, любая модель Kia, выпущенная после 2013 года, потенциально подвергалась риску.
После взлома хакер может отслеживать автомобиль, управлять такими функциями, как разблокировка дверей, включение звукового сигнала или запуск двигателя, — и все это с помощью клавиатуры.
Возможно, самая шокирующая часть? С точки зрения владельца, не было никаких уведомлений или предупреждений о том, что к его автомобилю был получен доступ или его аккаунт был изменен. По сути, это был тихий захват.
Ответ Киа
К счастью, после того, как в июне 2024 года Kia сообщили об уязвимостях, автопроизводитель отреагировал. К середине августа они внедрили исправление, чтобы устранить недостатки и защитить свои автомобили от удаленных эксплойтов. Хотя для многих этот патч стал облегчением, он стал суровым напоминанием о том, насколько взаимосвязанными стали наши автомобили и насколько уязвимыми они могут быть для кибератак.
Что ждет безопасность транспортных средств дальше?
Поскольку все больше автопроизводителей интегрируют передовые технологии и интернет-системы в свои автомобили, риск киберугроз растет. Инцидент с Kia служит тревожным сигналом, подчеркивающим важность надежной кибербезопасности в современных автомобилях. По мере развития автомобильной промышленности должны развиваться и протоколы безопасности, призванные защищать как автомобили, так и водителей от цифровых угроз.
Этот эпизод должен побудить автопроизводителей, и особенно Kia, постоянно пересматривать и обновлять свои меры безопасности. Для владельцев транспортных средств крайне важно быть в курсе событий, быстро применять обновления и знать о любых потенциальных уязвимостях безопасности, которые могут возникнуть в этот век подключенных автомобилей.
Цифровое будущее автомобилей впечатляет, но оно также сопряжено со значительными рисками, требующими пристального внимания, чтобы обезопасить всех участников дорожного движения как от физических, так и от цифровых угроз.