Bir grup güvenlik araştırmacısı, Kia’nın bayi portalında, bilgisayar korsanlarının yalnızca hedeflenen aracın plakasını kullanarak 2013’ten sonra üretilen milyonlarca Kia otomobilini bulmasına ve çalmasına olanak tanıyan kritik kusurlar keşfetti.
Neredeyse iki yıl önce, 2022’de, aralarında güvenlik araştırmacısı ve ödül avcısı Sam Curry’nin de bulunduğu bu gruptaki bazı bilgisayar korsanları, bir düzineden fazla otomobil şirketini etkileyen ve suçluların uzaktan konum belirlemesine, marş motorlarını devre dışı bırakmasına, kilidi açmasına olanak tanıyan başka kritik güvenlik açıkları buldu. ve Ferrari, BMW, Rolls Royce, Porsche ve diğer otomobil üreticileri tarafından üretilen 15 milyondan fazla aracı başlatın.
Bugün Curry, 11 Haziran 2024’te keşfedilen Kia web portalı güvenlik açıklarının, “aktif bir Kia Connect aboneliği olup olmadığına bakılmaksızın” uzak donanımla donatılmış herhangi bir Kia aracını 30 saniyeden kısa bir sürede kontrol etmek için kullanılabileceğini açıkladı.
Kusurlar aynı zamanda araç sahiplerinin adı, telefon numarası, e-posta adresi ve fiziksel adresi gibi hassas kişisel bilgilerini de açığa çıkardı ve saldırganların, araç sahiplerinin bilgisi olmadan kendilerini hedeflenen araçlara ikinci kullanıcı olarak eklemelerine olanak tanıdı.
Sorunu daha ayrıntılı bir şekilde ortaya koymak için ekip, bir saldırganın bir aracın plakasına nasıl girip 30 saniye içinde arabayı uzaktan kilitleyebileceğini veya kilidini açabileceğini, çalıştırıp durdurabileceğini, kornaya nasıl basabileceğini veya aracın yerini nasıl tespit edebileceğini gösteren bir araç geliştirdi.
Araştırmacılar bu bilgilere erişim sağlamak için Kia’nın kiaconnect.kdealer.com bayi portalında bir bayi hesabı kaydettiler.
Kimlik doğrulaması yapıldıktan sonra, arka uç bayi API’lerine erişmelerini sağlayan geçerli bir erişim jetonu oluşturdular; bu da onlara araç sahibi hakkında kritik ayrıntılar ve arabanın uzaktan kumandalarına tam erişim sağladı.
Saldırganların arka uç satıcı API’sini aşağıdaki amaçlarla kullanabileceğini buldular:
- Bir bayi jetonu oluşturun ve bunu HTTP yanıtından alın
- Kurbanın e-posta adresine ve telefon numarasına erişin
- Sızan bilgileri kullanarak sahibinin erişim izinlerini değiştirin
- Kurbanın aracına, uzaktan komutlara izin veren, saldırgan tarafından kontrol edilen bir e-posta ekleyin
Curry, “HTTP yanıtı, araç sahibinin adını, telefon numarasını ve e-posta adresini içeriyordu. Normal uygulama kimlik bilgilerimizi ve değiştirilmiş kanal başlığını kullanarak bayi portalında kimlik doğrulaması yapabildik” dedi.
Saldırganlar buradan API aracılığıyla bir aracın VIN’sini (araç kimlik numarası) girebilir ve sahibinin bilgisi olmadan aracı uzaktan izleyebilir, kilidini açabilir, çalıştırabilir veya kornaya basabilir.
Kia web portalı kusurları, Curry’nin açıkladığı gibi, “kurban açısından, araçlarına erişildiğine veya erişim izinlerinin değiştirildiğine dair herhangi bir bildirim olmadığından” araca sessiz, yetkisiz erişime izin veriyordu.
Curry, “Bu güvenlik açıkları o zamandan beri düzeltildi, bu araç hiçbir zaman piyasaya sürülmedi ve Kia ekibi bunun hiçbir zaman kötü niyetli olarak kullanılmadığını doğruladı” diye ekledi.