Революция автоугона: любую модель Kia можно взломать со смартфона

Номерной знак – всё, что нужно знать хакеру для доступа к вашему транспорту.


retxhdq97av1fl4r83vusmpgocjv339k.jpg


Исследователи безопасности обнаружили критические уязвимости в дилерском портале Kia , позволяющие злоумышленникам без шума и пыли похищать припаркованные автомобили этой марки. Выявленные проблемы позволяют взломать любые модели южнокорейского бренда, выпущенные после 2013 года, используя лишь номерной знак машины.

Впервые в 2022 году исследователи безопасности, включая «охотника за уязвимостями» Сэма Карри, выявили критические бреши в цифровых системах более чем десятка автомобильных брендов. Тогда уязвимости позволяли злоумышленникам удалённо обнаруживать, блокировать, разблокировать и даже запускать двигатель свыше 15 миллионов авто премиальных брендов, таких как Ferrari, BMW, Rolls Royce и Porsche.

На этот раз Карри сообщил, что обнаруженные 11 июня этого года бреши в портале Kia Connect открывали доступ к управлению любым автомобилем Kia с удалённым оборудованием, даже если у него не была активирована подписка Kia Connect.

Кроме того, уязвимости раскрывали личные данные владельцев автомобилей, включая имя, телефон, электронную почту и физический адрес. Также злоумышленники могли добавить себя в систему как второго пользователя без ведома владельца.

Чтобы продемонстрировать проблему, команда исследователей создала инструмент, который позволял с помощью одного лишь номерного знака добавлять автомобили в свой «виртуальный гараж», а затем удалённо блокировать, разблокировать, заводить или останавливать двигатель, сигналить или находить машину на карте.

" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen="">
Подключившись к дилерскому порталу Kia («kiaconnect.kdealer.com»), специалисты зарегистрировали привилегированную учётную запись и сгенерировали действующий токен доступа. Этот токен позволял задействовать API дилерского бэкэнда, предоставляя критическую информацию о владельцах автомобилей и полный контроль над удалёнными функциями машин.

Злоумышленники могли воспользоваться этим API для получения следующих возможностей:

  • Сгенерировать токен дилера и получить его из HTTP-ответа;
  • Получить доступ к электронной почте и номеру телефона владельца авто;
  • Изменить права доступа, используя полученные данные;
  • Добавить собственный адрес электронной почты к учётной записи автомобиля, чтобы управлять машиной удалённо.
Из-за выявленных брешей несанкционированный доступ к автомобилю мог быть осуществлён скрытно, поскольку владельцу не поступало ни уведомлений о взломе, ни оповещений о том, что права доступа были изменены.

Тем не менее, все уязвимости уже были устранены. По словам Карри, инструмент, демонстрирующий взлом, никогда не публиковался в сети, а команда Kia подтвердила, что обнаруженные недостатки не были использованы в злонамеренных целях.