Haziran 2024’te güvenlik araştırmacıları, Kia bayi portalında, 2013’ten sonra üretilen herhangi bir Kia aracını uzaktan ele geçirmelerine olanak tanıyan bir dizi güvenlik açığını ortaya çıkardılar ve ihtiyaç duydukları tek şey bir plaka numarasıydı.
Araştırmacılara göre:
“Bu saldırılar, aktif bir Kia Connect aboneliği olup olmadığına bakılmaksızın, donanımla donatılmış herhangi bir araç üzerinde yaklaşık 30 saniye içinde uzaktan gerçekleştirilebilir.”
Bu nasıl mümkün oldu?
İlk olarak, Kia “bayi portalının” yetkili Kia bayilerinin müşteri hesaplarını yeni arabalarının şasi numarasıyla eşleştirebilecekleri yer olduğunu anlamak önemlidir. Müşteri hesapları için Kia, alıcıdan bayideki e-posta adresini isteyecek ve müşterinin yeni bir Kia hesabı oluşturabileceği veya yeni satın aldığı aracı mevcut bir Kia hesabına ekleyebileceği bu adrese bir kayıt bağlantısı gönderecek.
Araştırmacılar, özel olarak hazırlanmış bir talep göndererek kendilerine bir bayi hesabı oluşturabileceklerini keşfettiler. Biraz daha manipülasyondan sonra bayilerin tüm uç noktalarına erişebildiler; bu da onlara isimler, telefon numaraları ve e-posta adresleri gibi müşteri verilerine erişim olanağı sağladı.
Yeni “satıcı” olarak güvenlik araştırmacıları, bir aracın benzersiz tanımlayıcısı olan Araç Kimlik Numarası (VIN) numarasına göre de arama yapabildiler. Araştırmacılar, gerçek sahibinin VIN numarası ve e-posta adresiyle, aracın sahibinin sıralamasını düşürerek kendilerini birincil hesap sahipleri olarak eklemeyi başardılar.
Ne yazık ki hak sahibi, aracına erişildiğine veya erişim izinlerinin değiştirildiğine dair herhangi bir bildirim alamadı.
Ancak bir arabanın şasi numarasını bulmak için araca fiziksel erişime ihtiyacınız olacak, değil mi? Tamamen değil.
ABD ve Birleşik Krallık da dahil olmak üzere birçok ülkede, plaka numarasına dayalı olarak size bir VIN numarası sağlamak için sorgulayabileceğiniz araç veritabanları bulunmaktadır. Araştırmacılar, plaka numarasını VIN’ye dönüştürmek için üçüncü taraf bir API kullandı.
Araca ve Kia Connect’in etkin olup olmadığına bağlı olarak, birincil hesap sahibi aracı uzaktan kilitleyebilir/kilidini açabilir, çalıştırabilir/durdurabilir, korna çalabilir ve yerini tespit edebilir.
Araştırmacılar, plakayı girebilecekleri ve iki adımda sahibinin kişisel bilgilerini alabilecekleri ve ardından araçta uzaktan komutlar uygulayabilecekleri bir kavram kanıtlama aracı oluşturdular.
Araştırmacılar bulgularını sorumlu bir şekilde Kia’ya açıkladılar ve bu da araştırmacıların bulduğu güvenlik açıklarını düzeltti. Kia, güvenlik açıklarının kötü amaçla kullanılmadığına dair güvence verdi.
Arabalardaki güvenlik açıkları yeni değil. Aslında bu güvenlik açıklarını bulan araştırmacılar bunu daha önceki araştırmalarının devamı olarak yaptılar. Çoğu zaman otomobil üreticilerinin mevcut özellikleri güvence altına almaktan ziyade yeni özellikler eklemeye daha fazla ilgi duyduklarını görüyoruz. Dolayısıyla, bunun gibi güvenlik açıklarının ortaya çıkarılmaya devam edeceğini bekleyebiliriz ve bu araştırmacıların bulgularını açıklamayı seçmesinden ve Kia’ya bunları açıklamadan önce güvenlik açıklarını düzeltmesi için bir şans vermesinden memnun olmalıyız.