Milyun-milyong Mga Sasakyan ng Kia na Nanganganib na Maaalarma ang Malayo na Pag-hack ng Vulnerability
Sa isang nakakatakot na paghahayag, natuklasan kamakailan ng mga mananaliksik ng seguridad ang mga seryosong kahinaan sa mga online system ng Kia na nag-iwan sa milyun-milyong sasakyan na mahina sa malayuang pag-hack. Ito ay hindi lamang tungkol sa pag-access ng ilang hindi mahalagang tampok. Ang mga bahid na natuklasan ay maaaring nagbigay sa mga hacker ng kapangyarihan na kontrolin ang mga pangunahing function ng sasakyan, lahat ay may ilang simpleng hakbang.
Talaan ng mga Nilalaman
Ang Mapanganib na Pagsasamantala
Isipin ito: na walang hihigit pa sa numero ng plaka ng iyong sasakyan, maaaring makontrol ng isang hacker ang iyong sasakyan sa loob ng wala pang 30 segundo. Nakakaalarma diba? Natuklasan ni Sam Curry, isang cybersecurity researcher, kasama ang isang pangkat ng tatlong iba pang eksperto, ang nakakabagabag na mga depektong ito sa portal ng mga may-ari ng Kia—isang online na sistema na nag-uugnay sa mga may-ari ng sasakyan sa kanilang mga sasakyan.
Ang mga kahinaan ay hindi lamang nagbukas ng pinto sa remote control ng mga sasakyan ngunit naglantad din ng isang kayamanan ng personal na impormasyon. Ang mga detalye tulad ng pangalan ng may-ari ng kotse, address, email address, at numero ng telepono ay maaaring makuha nang walang kahirap-hirap. Marahil ang higit na nakababahala, ang mga umaatake ay maaaring lumikha ng pangalawang profile ng gumagamit nang hindi nalalaman ng may-ari, na nagbibigay-daan sa kanila na magpadala ng mga utos sa sasakyan tulad ng pag-unlock ng mga pinto o kahit na pagsisimula ng makina.
Ang Teknikal na Pagkasira
Kaya paano nakalusot ang mga kahinaang ito sa mga bitak? Ayon kay Curry, ang website ng mga may-ari ng Kia ay hindi lamang isang portal para sa pagsuri sa impormasyon ng sasakyan—may kakayahan itong magsagawa ng mga utos sa internet-to-vehicle. Ang functionality na ito ay ginawang posible sa pamamagitan ng backend reverse proxy na nagdirekta sa mga command na ito sa isang API na responsable para sa pagsasagawa ng mga aksyon.
Bilang karagdagan, ang imprastraktura ng dealership ng Kia ay nagdulot ng mga katulad na panganib. Pagkatapos magparehistro sa site ng dealership, ang parehong kahilingan na ginamit para sa pagpaparehistro ng portal ng mga may-ari ng Kia ay maaaring manipulahin. Nakakuha ang mga mananaliksik ng access token, na nagpapahintulot sa kanila na tumawag sa mga backend dealer API.
Sa madaling salita, ibibigay ng sistema ang mga susi sa kaharian. Sa pamamagitan ng pagsasamantala sa mga kahinaang ito, maaaring makuha ng mga hacker ang sensitibong personal na data at palitan pa ang email address ng may-ari, na ginagawang ang kanilang mga sarili ang pangunahing may hawak ng account. Mula roon, maaari silang magpadala ng mga utos sa sasakyan—lahat nang walang anumang hinala sa dulo ng may-ari.
Isang Kapintasan na May Malaking Abot
Ang isa sa mga pinaka nakakabagabag na aspeto ng kahinaan na ito ay ang saklaw nito. Nakagawa ang team ni Curry ng proof-of-concept na dashboard na nagpapahintulot sa kanila na mag-type ng license plate, kunin ang personal na impormasyon ng may-ari, at magbigay ng mga command sa sasakyan. Ayon kay Curry, anumang modelo ng Kia na ginawa pagkatapos ng 2013 ay posibleng nasa panganib.
Kapag nakompromiso, masusubaybayan ng hacker ang kotse, manipulahin ang mga feature gaya ng pag-unlock ng mga pinto, pagbusina ng busina, o pagsisimula ng makina—lahat mula sa ginhawa ng keyboard.
Marahil ang pinaka nakakagulat na bahagi? Mula sa pananaw ng may-ari, walang mga notification o alerto na na-access ang kanilang sasakyan o binago ang kanilang account. Ito ay mahalagang isang tahimik na pagkuha.
Tugon ni Kia
Sa kabutihang palad, pagkatapos maiulat ang mga kahinaan sa Kia noong Hunyo 2024, kumilos ang automaker. Noong kalagitnaan ng Agosto, nagpatupad sila ng pag-aayos upang matugunan ang mga bahid at protektahan ang kanilang mga sasakyan mula sa malalayong pagsasamantala. Bagama't naging kaluwagan sa marami ang patch, isa itong matinding paalala kung paano naging konektado ang ating mga sasakyan at kung gaano sila maaaring maapektuhan sa mga cyberattack.
Ano ang Susunod para sa Seguridad ng Sasakyan?
Sa mas maraming automaker na nagsasama ng advanced na teknolohiya at mga sistemang nakabatay sa internet sa kanilang mga sasakyan, ang panganib ng mga banta sa cyber ay tumataas. Ang insidente ng Kia ay nagsisilbing wake-up call, na nagha-highlight sa kahalagahan ng matatag na cybersecurity sa mga modernong sasakyan. Habang umuunlad ang industriya ng sasakyan, dapat din ang mga protocol ng seguridad na idinisenyo upang mapanatiling ligtas ang mga sasakyan at driver mula sa mga digital na banta.
Dapat i-prompt ng episode na ito ang mga automaker, at lalo na ang Kia, na patuloy na suriin at i-update ang kanilang mga hakbang sa seguridad. Para sa mga may-ari ng sasakyan, mahalagang manatiling may kaalaman, maglapat ng mga update kaagad, at magkaroon ng kamalayan sa anumang mga potensyal na bahid sa seguridad na maaaring lumitaw sa panahong ito ng mga konektadong sasakyan.
Ang digital na kinabukasan ng mga kotse ay kapana-panabik, ngunit ito rin ay may kasamang malalaking panganib—ang nangangailangan ng maingat na atensyon upang mapanatiling ligtas ang lahat sa kalsada mula sa pisikal at digital na mga banta.