Güvenlik Operasyonları
Kia Web Sitesindeki Açıklara İzin Verildi Uzaktan Araç Kontrolü
Prajeet Nair (@prajeetspeaks) •
30 Eylül 2024
Otomobil üreticisi Kia’nın çevrimiçi hizmetlerinde artık yamalanan güvenlik açıkları, saldırganların yalnızca bir plaka numarası kullanarak araç işlevlerini uzaktan kontrol etmesine olanak tanıyarak milyonlarca aracı riske attı.
Ayrıca bakınız: Siber güvenlik iş gücü gelişimi: Öğrencilere uygulamalı SOC deneyimi sunarken siber güvenliği artıran bir Kamu/Özel Ortaklığı
Güvenlik araştırmacısı Sam Curry tarafından keşfedilen kusurlardan yaklaşık 30 saniyede yararlanılabiliyor ve 2014 yılına kadar uzanan Kia modellerini farklı derecelerde etkiliyor. Curry ve meslektaşları, otomobil üreticisinin en yeni modellerinin, kapıların kilidini açmak, motoru çalıştırmak ve marş motorunu devre dışı bırakmak gibi temel işlevlerin uzaktan kontrol edilmesine özellikle duyarlı olduğunu buldu. Uzaktan kontrol edilemeyen eski modeller bile coğrafi konum verilerinden vazgeçme eğilimindeydi.
Curry, Güney Koreli otomobil üreticisinin araç sahiplerine yönelik resmi web sitesinde ve iOS uygulamasında mevcut kusurları keşfettiğini söyledi.
Curry, Kia’nın plakasını girerek arabaların ele geçirilmesine izin verecek bir araç uygulaması geliştirdiğini açıkladıktan sonra, “Bu güvenlik açıkları düzeltildi, bu araç hiçbir zaman piyasaya sürülmedi ve Kia ekibi bunun hiçbir zaman kötü niyetli olarak kullanılmadığını doğruladı” dedi. bir Kia arabası.
Uzaktan bağlantı kusurları ayrıca saldırganların, sahibinin adı, adresi, e-posta adresi ve telefon numarası gibi hassas kişisel bilgileri toplamasına da olanak tanıdı. Kia, yorum talebine hemen yanıt vermedi.
Yazılım ve elektronik kontrol üniteleri, bir zamanlar tamamen analog olan makinelere hakim olduğundan, arabalar güvenlik araştırmacılarının favori hedefi haline geldi. IOActive baş teknoloji sorumlusu Gunter Ollmann, temel araç işlevlerini kontrol edebilen akıllı telefon uygulamalarının “geleneksel fiziksel işlevleri internet protokolleri ve uygulamalarının iletişim ve güvenlik zayıflıklarına maruz bıraktığını” söyledi.
Curry, sahibinin bilgisi olmadan kendisini araca ikinci kullanıcı olarak ekleyebildiğini söyledi. Curry’e göre kontrolü ele alma süreci 30 saniyeden kısa sürede tamamlanabilir. Araştırmacılar başlangıçta şu konuya odaklandılar: owners.kia.com web sitesi ve internetten araca komutlara izin veren Kia Connect iOS uygulaması.
Bu platformlar aracılığıyla yapılan HTTP isteklerini analiz eden Curry’nin ekibi, web sitesinin, bir arabanın kapısının kilidini açmak gibi kullanıcı komutlarını Kia’nın arka uç API hizmetine iletmek için bir arka uç ters proxy sistemi kullandığını buldu. Bu API hizmeti de araç komutlarını uzaktan yürütüyordu.
Bir HTTP isteği gönderme owners.kia.com Web sitesinden arka uç sisteme geçiş, yalnızca bir oturum kimliği belirtecini ve bir araç kimlik numarası anahtarını kullanarak bir arabanın kapısının kilidini açabilir.
Curry ve ekibi ayrıca Kia’nın bayi altyapısını da inceledi. Kia bayileri, müşteriler için yeni araçları kaydetmek ve etkinleştirmek için benzer bir sistem kullanıyor. Araştırmacılar sahte hesaplar kaydedebilir ve geçerli erişim jetonları oluşturabilir. Daha sonra bu tokenları iletişim bilgileri de dahil olmak üzere hassas kullanıcı verilerine erişmek için kullandılar.
Kia’nın bayi API’lerine erişim kazanmak, saldırganların bir araç üzerinde tam kontrol elde etmek için bir dizi komut göndermesine olanak tanıdı. Bayi API’leri ayrıca kullanıcı profillerini açığa çıkararak bilgisayar korsanlarının araç sahibinin kişisel bilgilerini görüntülemesine olanak tanıdı ve bu da genel gizlilik ihlalleri ve araca yetkisiz erişim tehdidini artırdı.
Bu soruşturmada ortaya çıkan kusurlar, Curry’nin ekibinin iki yıl önce bir düzineden fazla otomobil üreticisinde kritik güvenlik açıkları tespit ettiği önceki bir keşfin ardından geldi. Bu sorunlar aynı zamanda saldırganların araçları uzaktan devre dışı bırakmasına ve konumlarını takip etmesine de olanak tanıdı ve yaklaşık 15,5 milyon aracı etkiledi (bkz.: Lüks Otomobillerde Bulunan Kritik Açıklar Artık Düzeltildi).
Elbette her araba devralma kusurunun bir bilgisayar korsanlığı bileşenine ihtiyacı yoktur. Kia, 2023’te kendisini, bir tornavida ve mekanik kontağı açmak için bir erkek USB Tip A konektöründen başka hiçbir şeye ihtiyaç duymayan, TikTok’ta popüler hale getirilen bir teknik kullanarak, bir dizi araba hırsızlığını durdurmak için yazılım yamaları hazırlarken buldu (bkz:: Kia ve Hyundai TikTok Güvenlik Sorununu Düzeltiyor).