O zamandan beri Kia otomobillerinde düzeltilen bir dizi güvenlik kusuru, önemli işlevlerin yalnızca bir plakayla uzaktan kontrol edilmesine olanak sağladı.
Yaklaşık otuz saniye içinde bu saldırılar, mevcut bir Kia Connect üyeliği olmasa bile, donanımla donatılmış herhangi bir araç üzerinde uzaktan gerçekleştirilebilir.
Kurbanın adı, telefon numarası, e-posta adresi ve fiziksel adresi, bir saldırganın gizlice çalabileceği kişisel bilgiler arasındadır. Bu, saldırganın kurbanın aracına görünmez bir ikinci kullanıcı olarak gizlice katılmasını sağlayacaktır.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Saldırı Akışı
Sam Curry’nin bloguna göre Kia, bayilikte e-posta adresinizi isteyecek ve size yeni bir Kia hesabı oluşturabilmeniz veya yeni satın aldığınız aracı mevcut bir Kia hesabına ekleyebilmeniz için bir kayıt bağlantısı gönderecek.
kiaconnect.kdealer.com etki alanında VIN Anahtarı olarak da adlandırılan token parametresi, Kia bayisi tarafından bir kez oluşturulan ve vin parametresinde belirtilen aracı değiştirmesine olanak tanıyan bir erişim tokenidir.
Belirtecin süresinin dolmadığını veya kullanılmadığını doğrulamak için HTTP isteği gönderilecektir.
Uzmanlar, bayi APIGW uç noktasına HTTP isteği oluşturmak için kendi bayi jetonunu ve aracın VIN’ini kullandı; HTTP yanıtı araç sahibinin adını, telefon numarasını ve e-posta adresini içeriyordu.
Blog gönderisinde şu ifadeler yer alıyor: “Normal uygulama kimlik bilgilerimizi ve değiştirilmiş kanal başlığını kullanarak bayi portalında kimlik doğrulaması yapabildik. Bu, muhtemelen diğer tüm bayi uç noktalarına ulaşabileceğimiz anlamına geliyordu.”
Bir kurbanın aracına erişmek için potansiyel olarak dört HTTP isteği gönderilebilir:
- Bayi Simgesini oluşturun ve HTTP Yanıtından “belirteç” başlığını alın.
- Kurbanın E-posta Adresini ve Telefon Numarasını alın.
- Sızdırılan E-posta Adresini ve VIN numarasını kullanarak Sahibinin Önceki Erişimini değiştirin.
- Saldırganı Kurban Araca Ekle: Saldırganın kontrol ettiği e-posta, aracın birincil sahibi olarak belirlenir. Bu da araca keyfi komutlar vermemizi sağlayacak.
Mağdura, arabasına erişildiği veya erişim izinlerinin değiştirildiği bildirilmedi.
Saldırgan, bir kişinin plakasını çözerek ve VIN’ini almak için API’yi kullanarak kurbanı pasif olarak takip edebilir ve kilidi açma, başlatma veya korna çalma gibi aktif emirler verebilir.
Uzmanlara göre arabalar savunmasız olmaya devam edecek çünkü Meta’nın birisinin Facebook hesabınızı ele geçirmesine izin verecek bir kod değişikliği önermesi gibi, araba üreticileri de aracınız için aynısını yapabilir.
Güvenlik açıkları 11 Haziran 2024’te Kia Ekibine bildirildi ve 14 Ağustos 2024 itibarıyla Kia sorunları düzeltti. Kia ekibi bu kusurun hiçbir zaman kötü niyetli olarak kullanılmadığını doğruladı.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin