Milijoni Kiinih vozil v nevarnosti alarmantne ranljivosti za oddaljene vdore
V srhljivem razkritju so varnostni raziskovalci nedavno odkrili resne ranljivosti v Kiinih spletnih sistemih, zaradi katerih je bilo na milijone vozil ranljivih za oddaljene vdore. Tu ni šlo samo za dostop do nekaj nepomembnih funkcij. Odkrite napake bi lahko hekerjem omogočile nadzor nad ključnimi funkcijami vozila, vse z nekaj preprostimi koraki.
Kazalo
Nevarno podvig
Predstavljajte si naslednje: z nič več kot številko registrske tablice vašega avtomobila bi lahko heker pridobil nadzor nad vašim vozilom v manj kot 30 sekundah. Zaskrbljujoče, kajne? Sam Curry, raziskovalec kibernetske varnosti, je skupaj z ekipo treh drugih strokovnjakov odkril te vznemirljive napake na Kiinem portalu lastnikov – spletnem sistemu, ki povezuje lastnike vozil z njihovimi avtomobili.
Ranljivosti niso le odprle vrat daljinskemu upravljanju vozil, temveč so razkrile tudi zakladnico osebnih podatkov. Podrobnosti, kot so ime, naslov, e-poštni naslov in telefonska številka lastnika avtomobila, je mogoče zlahka pridobiti. Morda je še bolj zaskrbljujoče, da bi lahko napadalci ustvarili drugi uporabniški profil, ne da bi lastnik sploh vedel, kar bi jim omogočilo pošiljanje ukazov vozilu, kot je odklepanje vrat ali celo zagon motorja.
Tehnična razčlenitev
Kako so torej te ranljivosti zdrsnile skozi razpoke? Po Curryjevih besedah spletna stran Kiinih lastnikov ni bila le portal za preverjanje informacij o vozilih – imela je možnost izvajanja ukazov med internetom in vozilom. Ta funkcionalnost je bila omogočena prek zalednega povratnega posrednika, ki je te ukaze usmeril v API, odgovoren za izvajanje dejanj.
Poleg tega je infrastruktura zastopstva Kia predstavljala podobna tveganja. Po registraciji na spletnem mestu zastopnika je mogoče manipulirati z isto zahtevo, ki se uporablja za registracijo Kiinega portala lastnikov. Raziskovalcem je uspelo pridobiti žeton za dostop, ki jim je omogočil klicanje API-jev zalednega trgovca.
Preprosto povedano, sistem bi predal ključe kraljestva. Z izkoriščanjem teh ranljivosti bi lahko hekerji pridobili občutljive osebne podatke in celo zamenjali e-poštni naslov lastnika, s čimer bi postali primarni imetniki računa. Od tam so lahko pošiljali ukaze vozilu – vse to, ne da bi pri lastniku vzbudili kakršen koli sum.
Napaka z ogromnim dosegom
Eden najbolj vznemirljivih vidikov te ranljivosti je bil njen obseg. Curryjevi ekipi je uspelo ustvariti nadzorno ploščo za dokaz koncepta, ki jim je omogočila vnos registrske tablice, pridobitev osebnih podatkov lastnika in izdajanje ukazov vozilu. Po mnenju Curryja je bil vsak Kiin model, izdelan po letu 2013, potencialno ogrožen.
Ko je heker ogrožen, lahko sledi avtu, manipulira s funkcijami, kot je odklepanje vrat, hupanje ali zagon motorja – vse iz udobja tipkovnice.
Morda najbolj šokanten del? Z vidika lastnika ni bilo nobenih obvestil ali opozoril, da je bil dostopan do njihovega vozila ali spremenjen njihov račun. V bistvu je šlo za tihi prevzem.
Kiin odgovor
Na srečo je proizvajalec avtomobilov ukrepal, potem ko je bila Kia junija 2024 obveščena o ranljivostih. Do sredine avgusta so uvedli popravek za odpravo napak in zaščito svojih vozil pred izkoriščanji na daljavo. Medtem ko je popravek mnogim olajšal, je oster opomnik, kako povezana so postala naša vozila in kako ranljiva so lahko za kibernetske napade.
Kaj je naslednje za varnost vozil?
Z več proizvajalci avtomobilov, ki v svoje avtomobile vgrajujejo napredno tehnologijo in internetne sisteme, tveganje kibernetskih groženj narašča. Incident pri Kii služi kot opozorilo, ki poudarja pomen močne kibernetske varnosti v sodobnih vozilih. Z razvojem avtomobilske industrije se morajo razvijati tudi varnostni protokoli, zasnovani za zaščito avtomobilov in voznikov pred digitalnimi grožnjami.
Ta epizoda bi morala proizvajalce avtomobilov, še posebej Kio, spodbuditi, da nenehno pregledujejo in posodabljajo svoje varnostne ukrepe. Za lastnike vozil je ključnega pomena, da so obveščeni, nemudoma uporabljajo posodobitve in se zavedajo morebitnih varnostnih napak, ki bi se lahko pojavile v tej dobi povezanih avtomobilov.
Digitalna prihodnost avtomobilov je vznemirljiva, vendar prinaša tudi znatna tveganja – tista, ki zahtevajo posebno pozornost, da bodo vsi na cesti varni pred fizičnimi in digitalnimi grožnjami.