Siber güvenlik araştırmacıları, Kia araçlarında, bilgisayar korsanlarının bir arabanın plakasından başka bir şey kullanmadan temel işlevleri uzaktan kontrol etmesine olanak tanıyan önemli bir güvenlik açığını ortaya çıkardı.
11 Haziran 2024’te keşfedilen bu ihlal, kişisel bilgilere ve araç kontrolüne yetkisiz erişim potansiyelini açığa çıkararak otomotiv siber güvenliği konusunda ciddi endişelere yol açtı.
Keşif
Samcurry raporlarına göre güvenlik açığı, daha önce çeşitli otomobil üreticilerindeki güvenlik kusurlarını araştıran bir grup etik hacker tarafından tespit edildi.
Son bulgular, saldırganların belirli donanımlarla donatılmış Kia araçlarına uzaktan komutları 30 saniye gibi kısa bir sürede uygulayabildiğini ortaya çıkardı.
Bu ihlal, aktif bir Kia Connect aboneliği gerektirmediği için birçok araç tarafından erişilebilir hale getirildi.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Hack Nasıl Çalışır?
Saldırı yöntemi, bir Kia aracının plakasının özel olarak tasarlanmış bir araca girilmesini içeriyordu.
Araç daha sonra bilgisayar korsanının kapıları kilitleme veya kilitlerini açma, motoru çalıştırma veya durdurma ve hatta aracın kamera sistemine erişme gibi komutları yürütmesine izin verdi.
Araç ayrıca saldırganların, sahibinin adı, telefon numarası, e-posta adresi ve fiziksel adresi dahil olmak üzere kişisel bilgileri sessizce toplamasına da olanak sağladı.
“owners.kia.com” web sitesinde Araç Kapısının Kilidini Açmak için HTTP İsteği
POST /apps/services/owners/apigwServlet.html HTTP/2
Host: owners.kia.com
Httpmethod: GET
Apiurl: /door/unlock
Servicetype: postLoginCustomer
Cookie: JSESSIONID=SESSION_TOKEN;Etkilenen Araçlar
İhlal, farklı yıllardaki birçok modeli etkiledi. Bunlar arasında 2025 Carnival EX, SX, LX ve Hybrid versiyonlarının yanı sıra 2025 K5 ve Sportage modelleri de dikkat çekti.
Güvenlik açığı, bu modellerde uzaktan kilitleme/kilit açma ve başlatma/durdurmaya izin verdi.
Bu güvenlik açığının sonuçları derindi. Bir saldırgan, sahibinin bilgisi veya izni olmadan bir aracın kontrolünü etkili bir şekilde ele geçirebilir.
Araçları uzaktan takip etme ve komut verme yeteneği, mahremiyet ve güvenlik açısından önemli riskler oluşturuyordu.
Kia’dan yanıt
Güvenlik açığını keşfeden araştırmacılar bunu derhal Kia’ya bildirdi. Şirket o zamandan beri güvenlik kusurlarını gidermek için düzeltmeler uyguladı.
Kia, bu güvenlik açıklarının yamalanmadan önce kötü niyetli olarak kullanıldığına dair hiçbir kanıt bulunmadığını doğruladı.
Bu olay, potansiyel güvenlik tehditlerinin belirlenmesi ve azaltılmasında etik hacklemenin öneminin altını çiziyor.
Bu keşfe katılan araştırmacılar daha önce diğer otomobil üreticilerindeki güvenlik açıklarını ortaya çıkarmak için çalışmış ve otomotiv siber güvenliğine önemli ölçüde katkıda bulunmuşlardı.
Araçlar giderek daha fazla bağlantılı hale geldikçe ve dijital sistemlere bağımlı hale geldikçe, sağlam siber güvenlik önlemlerinin alınması büyük önem taşıyor.
Üreticilerin tasarım süreçlerinde güvenliğe öncelik vermeleri ve ortaya çıkan tehditlere karşı tetikte olmaları gerekiyor.
Bu güvenlik açığının ortaya çıkması, bağlantılı araçlarla ilgili potansiyel risklerin açık bir şekilde hatırlatılmasına hizmet ediyor.
Kia sorunu düzeltmek için adımlar atmış olsa da tüketicileri gelecekte benzer tehditlerden korumak için sürekli dikkat ve proaktif güvenlik önlemleri hayati önem taşıyor.
Herhangi Birini Analiz EdinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free