Siber güvenlik araştırmacıları, Kia araçlarda bulunan ve başarılı bir şekilde istismar edilmesi halinde, yalnızca bir plaka kullanılarak aracın temel işlevlerinin uzaktan kontrol edilmesine olanak sağlayabilecek bir dizi açığı ortaya çıkardı.
Güvenlik araştırmacıları Neiko Rivera, Sam Curry, Justin Rhinehart ve Ian Carroll, “Bu saldırılar, aktif bir Kia Connect aboneliği olsun veya olmasın, yaklaşık 30 saniye içinde herhangi bir donanımla donatılmış araca uzaktan gerçekleştirilebilir.” dedi.
Sorunlar 2013’ten sonra üretilen hemen hemen tüm araçları etkiliyor ve saldırganların kurbanın adı, telefon numarası, e-posta adresi ve fiziksel adresi gibi hassas bilgilere gizlice erişmesine bile olanak sağlıyor.
Esasında, bu durum saldırgan tarafından, araç sahibinin bilgisi olmadan kendisini araçta “görünmez” ikinci kullanıcı olarak eklemek için kötüye kullanılabilir.
Araştırmanın özü, sorunların Kia bayilik altyapısını (“kiaconnect.kdealer”) istismar etmesidir.[.]com”) HTTP isteği yoluyla sahte bir hesap için kayıt yaptırmak ve ardından erişim belirteçleri oluşturmak için araç aktivasyonlarında kullanılır.
Daha sonra belirteç, bir bayi APIGW uç noktasına yapılan başka bir HTTP isteği ve bir aracın araç kimlik numarası (VIN) ile birlikte kullanılarak araç sahibinin adı, telefon numarası ve e-posta adresi elde edilir.
Dahası, araştırmacılar, kurbanın aracına dört HTTP isteği göndererek ve en sonunda internetten araca komutlar uygulayarak erişim sağlamanın mümkün olduğunu keşfettiler.
- Yukarıda belirtilen yöntemi kullanarak bayi belirtecini oluşturun ve HTTP yanıtından “belirteç” başlığını alın
- Kurbanın e-posta adresini ve telefon numarasını al
- Saldırganı birincil hesap sahibi olarak eklemek için sızdırılan e-posta adresini ve VIN numarasını kullanarak sahibinin önceki erişimini değiştirin
- Saldırganı, aracın birincil sahibi olarak kendi kontrolündeki bir e-posta adresini ekleyerek kurban araca ekleyin, böylece keyfi komutların çalıştırılmasına izin verin
Araştırmacılar, “Mağdurun aracına erişildiğine dair herhangi bir bildirim yapılmadı ya da erişim izinleri değiştirilmedi” ifadelerini kullandı.
“Bir saldırgan birinin plakasını çözebilir, API aracılığıyla VIN numarasını girebilir, ardından onları pasif olarak takip edebilir ve kilidi aç, çalıştır veya korna çal gibi aktif komutlar gönderebilir.”
Varsayımsal bir saldırı senaryosunda, kötü niyetli bir aktör özel bir gösterge paneline bir Kia aracın plakasını girebilir, kurbanın bilgilerini alabilir ve yaklaşık 30 saniye sonra araç üzerinde komutlar yürütebilir.
Haziran 2024’te sorumlu bir açıklama yapılmasının ardından, kusurlar Kia tarafından 14 Ağustos 2024 itibarıyla giderildi. Bu güvenlik açıklarının gerçek hayatta istismar edildiğine dair hiçbir kanıt yok.
Araştırmacılar, “Otomobiller güvenlik açıklarına sahip olmaya devam edecek, çünkü Meta’nın Facebook hesabınızı ele geçirmesine izin verecek bir kod değişikliği yapabilmesi gibi, otomobil üreticileri de aracınız için aynısını yapabilir” dedi.