Milióny vozidiel Kia ohrozené alarmujúcou zraniteľnosťou vzdialeného hackerstva
V mrazivom odhalení výskumní pracovníci v oblasti bezpečnosti nedávno odhalili vážne zraniteľné miesta v online systémoch Kia, ktoré spôsobili, že milióny vozidiel boli zraniteľné voči vzdialenému hackerstvu. Nebolo to len o prístupe k niekoľkým nedôležitým funkciám. Objavené chyby mohli hackerom poskytnúť moc ovládať kľúčové funkcie vozidla, a to všetko pomocou niekoľkých jednoduchých krokov.
Obsah
Nebezpečné zneužitie
Predstavte si toto: ak nemáte nič iné ako poznávaciu značku vášho auta, hacker by mohol potenciálne získať kontrolu nad vaším vozidlom za menej ako 30 sekúnd. Alarmujúce, však? Sam Curry, výskumník v oblasti kybernetickej bezpečnosti, spolu s tímom troch ďalších odborníkov objavili tieto znepokojujúce nedostatky v portáli majiteľov Kia – online systéme, ktorý spája majiteľov vozidiel s ich autami.
Zraniteľnosť nielen otvorila dvere k diaľkovému ovládaniu vozidiel, ale odhalila aj pokladnicu osobných informácií. Podrobnosti, ako je meno majiteľa auta, adresa, e-mailová adresa a telefónne číslo, sa dajú ľahko získať. Možno ešte viac znepokojujúce je, že útočníci by mohli vytvoriť druhý užívateľský profil bez toho, aby o tom majiteľ vedel, čo by im umožnilo posielať do vozidla príkazy, ako je odomknutie dverí alebo dokonca naštartovanie motora.
Technická porucha
Ako sa teda tieto zraniteľnosti dostali cez trhliny? Podľa Curryho webová stránka majiteľov Kia nebola len portálom na kontrolu informácií o vozidle – mala schopnosť vykonávať príkazy z internetu do vozidla. Táto funkcia bola umožnená prostredníctvom backendového reverzného proxy, ktorý nasmeroval tieto príkazy na API zodpovedné za vykonávanie akcií.
Infraštruktúra predajcu Kia navyše predstavovala podobné riziká. Po registrácii na stránke predajcu bolo možné zmanipulovať tú istú požiadavku, ktorá bola použitá na registráciu na portáli majiteľov Kia. Výskumníkom sa podarilo získať prístupový token, ktorý im umožnil volať rozhrania API koncových predajcov.
Jednoducho povedané, systém by odovzdal kľúče od kráľovstva. Využitím týchto zraniteľností by hackeri mohli získať citlivé osobné údaje a dokonca nahradiť e-mailovú adresu vlastníka, čím by sa stali primárnymi držiteľmi účtu. Odtiaľ mohli posielať príkazy do vozidla – to všetko bez vzbudzovania akéhokoľvek podozrenia na strane majiteľa.
Chyba s obrovským dosahom
Jedným z najviac znepokojujúcich aspektov tejto zraniteľnosti bol jej rozsah. Curryho tím bol schopný vytvoriť kontrolnú dosku, ktorá im umožnila zadať poznávaciu značku, získať osobné údaje majiteľa a vydávať príkazy vozidlu. Podľa Curryho bol každý model Kia vyrobený po roku 2013 potenciálne ohrozený.
Po ohrození mohol hacker sledovať auto, manipulovať s funkciami, ako je odomykanie dverí, trúbenie alebo naštartovanie motora – to všetko z pohodlia klávesnice.
Možno najšokujúcejšia časť? Z pohľadu majiteľa sa neobjavili žiadne upozornenia ani upozornenia o tom, že bol prístup k ich vozidlu alebo že ich účet bol zmenený. Išlo v podstate o tiché prevzatie.
Reakcia Kia
Našťastie po nahlásení zraniteľností spoločnosti Kia v júni 2024 automobilka konala. Do polovice augusta implementovali opravu na odstránenie nedostatkov a ochranu svojich vozidiel pred vzdialenými zneužitiami. Aj keď táto oprava mnohým pomohla, je to jasná pripomienka toho, ako sa naše vozidlá stali prepojenými a aké zraniteľné môžu byť voči kybernetickým útokom.
Čo ďalej so zabezpečením vozidla?
S čoraz väčším počtom výrobcov automobilov, ktorí do svojich áut integrujú pokročilé technológie a internetové systémy, sa zvyšuje riziko kybernetických hrozieb. Incident Kia slúži ako budík, ktorý zdôrazňuje dôležitosť robustnej kybernetickej bezpečnosti v moderných vozidlách. S vývojom automobilového priemyslu sa musia vyvíjať aj bezpečnostné protokoly navrhnuté tak, aby chránili autá aj vodičov pred digitálnymi hrozbami.
Táto epizóda by mala podnietiť výrobcov automobilov a najmä spoločnosť Kia, aby neustále kontrolovali a aktualizovali svoje bezpečnostné opatrenia. Pre majiteľov vozidiel je dôležité, aby zostali informovaní, rýchlo aplikovali aktualizácie a boli si vedomí všetkých potenciálnych bezpečnostných chýb, ktoré by mohli vzniknúť v tomto veku prepojených áut.
Digitálna budúcnosť automobilov je vzrušujúca, ale prináša aj značné riziká – tie, ktoré si vyžadujú dôkladnú pozornosť, aby boli všetci na ceste v bezpečí pred fyzickými aj digitálnymi hrozbami.