ECUA’daki KIA araçlarında yaygın olarak kullanılan anahtarsız giriş sistemlerinde (KES) bir güvenlik kusuru tanımlanmıştır.Dor, binlerce arabayı ciddi bir hırsızlık riskine maruz bırakıyor. Resmi olarak CVE-2025-6029 olarak kataloglanan bu güvenlik açığı, Kia Ecuador tarafından homologlaşan ve dağıtılan satış sonrası anahtar fobs’ta modası geçmiş teknolojiye odaklanmaktadır. Etkilenen modeller arasında 2022’den 2025’e kadar Kia Soluto, Rio ve Picanto yer alıyor.
KIA güvenlik açığının doğası (CVE-2025-6029)
Anahtarsız giriş güvenlik açığı, bağımsız bir donanım güvenlik araştırmacısı, etik hacker ve Ters Her şey kurucusu Danilo Erazo tarafından keşfedildi. Erazo, özellikle Latin Amerika’da kullanılan temel FOB’ların arkasındaki donanım ve radyo frekansı (RF) protokollerine odaklanan araç güvenliğini kapsamlı bir şekilde inceliyor. Araştırmaları, KES’de Ekvador’daki birçok KIA aracına kurulan kritik bir kusuru vurgulamaktadır: daha güvenli yuvarlanma kodlarından ziyade “Öğrenme Kodu” teknolojisinin sürekli kullanımı.
Modern araçların çoğu küresel olarak, anahtar FOB her kullanıldığında erişim kodunu değiştiren haddeleme kodu teknolojisini kullanır ve tekrar saldırıları veya anahtar klonlama riskini büyük ölçüde azaltır. 1990’ların ortalarında araç güvenlik sistemlerinde yuvarlanma kodları yaygınlaştı ve 2000’li yılların başından beri Latin Amerika’da standart oldu. Buna karşılık, savunmasız KIA anahtar fob’ları sabit öğrenme kodları kullanır – anahtar fob bir sinyal ilettiğinde aynı kalan statik kodlar.
Öğrenme kodları nelerdir?
Öğrenme kodları, hem aracın alıcısında hem de anahtar vericisinde depolanan programlanabilir sabit kodlardır. Kalıcı olarak kablolu sabit kodların aksine, öğrenme kodları yeniden programlanabilir. Her araç tipik olarak dört adede kadar öğrenme kodunu destekler ve aynı araca birden fazla anahtarın programlanmasına izin verir. Bununla birlikte, bu kodlar her kullanımla dinamik olarak değişmez, bu da tekrar veya klonlama saldırıları yoluyla sömürüye açıktır.
Bir saldırgan, özel antenler veya yazılım tanımlı radyo (SDR) cihazları kullanarak anahtar FOB tarafından iletilen radyo frekansı sinyalini yakalayabilir, ardından aracın kilidini açmak için bu tam sinyali tekrarlayabilir – dolayısıyla güvenlik açığının adı, anahtarsız giriş güvenlik açığı.
HS2240 ve EV1527 yongaları
2022 ve 2023 başlarındaki Kia Ecuador anahtar fob’ları HS2240 çipini kullanırken, 2024 ve 2025 modelleri EV1527 çipini kullanıyor. Her iki yonga da aynı güvensiz öğrenme kodu teknolojisine güvenir. Bu yongalar yaklaşık 1 milyon olası sabit kod kombinasyonuna sahiptir, ancak kaba kuvvet yöntemleriyle, bilgisayar korsanları yetkisiz erişim elde etmek için tüm kodları sistematik olarak deneyebilir.
BENn Tekrar ve kaba kuvvet saldırılarına ek olarak, sistem “arka kapı” güvenlik açıklarına izin verir. Araç alıcısı dört adede kadar öğrenme kodunu kabul ettiğinden, kötü niyetli aktörler potansiyel olarak kendi sabit kodlarını ekleyebilir ve sahibinin bilgisi olmadan kalıcı yetkisiz erişim sağlayabilir. Bu arka kapı, araç müşteriye ulaşmadan önce üretim veya tedarik zinciri boyunca herhangi bir yere tanıtılabilir.
Güvenlik açığı, 2022’den 2025’e kadar Kia Soluto, Rio ve Picanto modellerini içeren onaylanmış vakalarla Ekvador’daki binlerce KIA aracını etkiler. Kamu ve özel otoparklarda hırsızlık olayları bu zayıflığa bağlanmıştır. Bu konu Ekvador’da kamuya açıklanmış olsa da, diğer Latin Amerika ülkelerinin de araçlarda benzer şekilde savunmasız KES kullandıklarına inanılmaktadır.
Bu güvenlik açığı, Kia Ecuador’un sadece bu anahtar fob’leri yüklemesi değil, aynı zamanda resmi olarak homologlar ve dağıtıcı hale getirmesi gerçeğiyle daha da kötüleşir. İlginç bir şekilde, bu savunmasız anahtar fob’ler, orijinal ekipman üreticisi (OEM) parçaları olmamasına rağmen Kia Ecuador web sitesinde satın alınabilir.
Çözüm
Danilo Erazo’nun CVE-2025-6029 hakkındaki araştırması, Ekvador’daki KIA araçlarının Kodu Tabanlı Anahtarsız Giriş Sistemleri (KES) ile KIA araçlarının saldırıları, kaba zorlama ve arka kapı erişimine karşı nasıl savunmasız olduklarını ortaya koydu. Danilo Erazo ve diğer uzmanlar, bu modası geçmiş öğrenme kodu FOB’larını haddeleme kodu teknolojisi ile değiştirme ihtiyacını vurguluyor ve üreticileri savunmasız KES’i aşamalı olarak çıkarmaya çağırıyor. Güvenlik açığı, üst üste binen sabit kod aralıkları nedeniyle küresel bir risk oluşturmaktadır.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.