Милиони Киа возила у опасности од алармантне рањивости од даљинског хаковања
У језивом открићу, истраживачи безбедности су недавно открили озбиљне пропусте у Кијиним онлајн системима због којих су милиони возила били подложни хаковању на даљину. Није се радило само о приступу неколико неважних функција. Откривени недостаци су могли да дају хакерима моћ да контролишу кључне функције возила, све у неколико једноставних корака.
Преглед садржаја
Тхе Дангероус Екплоит
Замислите ово: без ништа више од регистарске таблице вашег аутомобила, хакер би потенцијално могао да преузме контролу над вашим возилом за мање од 30 секунди. Алармантно, зар не? Сем Кари, истраживач сајбер безбедности, заједно са тимом од три друга стручњака, открио је ове узнемирујуће недостатке на порталу власника Кијине – онлајн систему који повезује власнике возила са њиховим аутомобилима.
Рањивости не само да су отвориле врата даљинској контроли возила, већ су откриле и ризницу личних података. Детаљи као што су име власника аутомобила, адреса, адреса е-поште и број телефона могу се извући без напора. Можда још више забрињава то што би нападачи могли да направе други кориснички профил а да власник то не зна, омогућавајући им да шаљу команде возилу као што је откључавање врата или чак покретање мотора.
Технички слом
Па како су се ове рањивости провукле кроз пукотине? Према Карију, веб локација власника Киа није била само портал за проверу информација о возилу – имала је могућност да извршава команде са интернета на возило. Ова функционалност је омогућена преко позадинског обрнутог проксија који је ове команде усмеравао ка АПИ-ју одговорном за извршавање радњи.
Поред тога, инфраструктура Кијиних заступника представљала је сличне ризике. Након регистрације на сајту дилера, исти захтев који је коришћен за регистрацију на Кијином порталу власника могао би бити изманипулисан. Истраживачи су успели да добију приступни токен, што им је омогућило да позову АПИ-је за позадинске дилере.
Једноставно речено, систем би предао кључеве краљевства. Искоришћавањем ових рањивости, хакери би могли да поврате осетљиве личне податке, па чак и замене адресу е-поште власника, чинећи себе примарним власницима налога. Одатле су могли да шаљу команде возилу — све то без изазивања сумње на страни власника.
Грешка са великим дометом
Један од најузнемирујућих аспеката ове рањивости био је њен обим. Каријев тим успео је да направи контролну таблу са доказом концепта која им је омогућила да укуцају регистарску таблицу, преузму личне податке власника и издају команде возилу. Према Карију, сваки Кијин модел произведен након 2013. био је потенцијално угрожен.
Једном компромитован, хакер је могао да прати аутомобил, да манипулише функцијама као што су откључавање врата, трубање или покретање мотора – све из удобности тастатуре.
Можда најшокантнији део? Из перспективе власника, није било обавештења или упозорења да је приступљено њиховом возилу или да је његов налог измењен. То је у суштини било тихо преузимање.
Кијин одговор
Срећом, након што су рањивости пријављени Кији у јуну 2024., произвођач аутомобила је реаговао. До средине августа имплементирали су исправку како би отклонили недостатке и заштитили своја возила од даљинских експлоатација. Иако је закрпа многима донела олакшање, то је оштар подсетник колико су наша возила постала повезана и колико могу да буду рањива на сајбер нападе.
Шта је следеће за безбедност возила?
Са више произвођача аутомобила који интегришу напредну технологију и системе засноване на интернету у своје аутомобиле, ризик од сајбер претњи је у порасту. Инцидент у Кији служи као позив за буђење, наглашавајући важност снажне сајбер безбедности у модерним возилима. Како се аутомобилска индустрија развија, тако се морају развијати и безбедносни протоколи дизајнирани да заштите и аутомобиле и возаче од дигиталних претњи.
Ова епизода би требало да подстакне произвођаче аутомобила, а посебно Кију, да стално прегледају и ажурирају своје безбедносне мере. За власнике возила, кључно је да буду информисани, да одмах примењују ажурирања и да буду свесни свих потенцијалних безбедносних пропуста који би се могли појавити у овом добу повезаних аутомобила.
Дигитална будућност аутомобила је узбудљива, али такође долази са значајним ризицима – онима који захтевају пажљиву пажњу како би се сви на путу заштитили од физичких и дигиталних претњи.