Мільйони автомобілів Kia під загрозою тривожної вразливості віддаленого злому
Нещодавно дослідники безпеки виявили серйозні вразливості в онлайн-системах Kia, які зробили мільйони автомобілів уразливими до дистанційного злому. Йшлося не лише про доступ до кількох неважливих функцій. Виявлені недоліки могли дати хакерам можливість контролювати ключові функції автомобіля за допомогою кількох простих кроків.
Зміст
Небезпечний подвиг
Уявіть собі: маючи лише номерний знак вашого автомобіля, хакер може отримати контроль над вашим транспортним засобом менш ніж за 30 секунд. Тривожно, правда? Сем Каррі, дослідник кібербезпеки, разом із командою з трьох інших експертів виявили ці тривожні недоліки на порталі власників Kia — онлайн-системі, яка з’єднує власників автомобілів із їхніми автомобілями.
Уразливості не тільки відкрили двері для дистанційного керування транспортними засобами, але й розкрили скарбницю особистої інформації. Такі деталі, як ім’я власника автомобіля, адреса, адреса електронної пошти та номер телефону, можна отримати без зусиль. Можливо, ще більше занепокоєння те, що зловмисники можуть створити другий профіль користувача без відома власника, дозволяючи їм надсилати команди транспортному засобу, наприклад, відмикати двері або навіть запускати двигун.
Технічна поломка
Отже, як ці вразливості проскочили крізь щілини? За словами Каррі, веб-сайт власників Kia був не просто порталом для перевірки інформації про транспортний засіб — він мав можливість виконувати команди з Інтернету на автомобіль. Ця функція стала можливою завдяки зворотному серверному проксі-серверу, який направляв ці команди до API, відповідального за виконання дій.
Крім того, дилерська інфраструктура Kia створювала подібні ризики. Після реєстрації на сайті дилера можна було маніпулювати тим самим запитом, який використовувався для реєстрації на порталі власників Kia. Дослідники змогли отримати маркер доступу, який дозволив їм викликати API серверного дилера.
Простіше кажучи, система передасть ключі від королівства. Використовуючи ці вразливості, хакери можуть отримати конфіденційні особисті дані та навіть замінити електронну адресу власника, зробивши себе основними власниками облікового запису. Звідти вони могли надсилати команди транспортному засобу — і все це не викликало жодних підозр у власника.
Вада з величезним охопленням
Одним із найбільш тривожних аспектів цієї вразливості був її масштаб. Команда Каррі змогла створити інформаційну панель для підтвердження концепції, яка дозволяла їм вводити номерний знак, отримувати особисту інформацію власника та віддавати команди транспортному засобу. За словами Каррі, будь-яка модель Kia, випущена після 2013 року, була потенційно під загрозою.
Після зламу хакер міг стежити за автомобілем, маніпулювати такими функціями, як відмикання дверей, звуковий сигнал або запуск двигуна — і все це зручно за допомогою клавіатури.
Можливо, найбільш шокуюча частина? З точки зору власника, не було жодних сповіщень чи сповіщень про те, що до їхнього транспортного засобу було здійснено доступ або їхній обліковий запис змінено. По суті, це було тихе захоплення.
Відповідь Kia
На щастя, після того, як Kia повідомили про вразливі місця в червні 2024 року, автовиробник вжив заходів. До середини серпня вони реалізували виправлення, щоб усунути недоліки та захистити свої транспортні засоби від віддалених експлойтів. Хоча патч став полегшенням для багатьох, він яскраве нагадування про те, наскільки підключеними стали наші транспортні засоби та наскільки вони можуть бути вразливими до кібератак.
Що далі для безпеки транспортних засобів?
Оскільки все більше автовиробників інтегрують передові технології та Інтернет-системи у свої автомобілі, ризик кіберзагроз зростає. Інцидент з Kia став тривожним дзвіночком, підкреслюючи важливість надійної кібербезпеки в сучасних автомобілях. З розвитком автомобільної промисловості також повинні розвиватися протоколи безпеки, розроблені для захисту автомобілів і водіїв від цифрових загроз.
Цей епізод повинен спонукати автовиробників, і особливо Kia, постійно переглядати та оновлювати свої заходи безпеки. Для власників транспортних засобів вкрай важливо бути в курсі, своєчасно встановлювати оновлення та бути в курсі будь-яких потенційних недоліків безпеки, які можуть виникнути в епоху підключених автомобілів.
Цифрове майбутнє автомобілів захоплююче, але воно також пов’язане зі значними ризиками, які вимагають пильної уваги, щоб убезпечити всіх на дорозі як від фізичних, так і від цифрових загроз.