Группа экспертов по кибербезопасности выявила ряд критических уязвимостей в дилерском портале Kia, которые потенциально позволяли злоумышленникам удаленно управлять ключевыми функциями автомобилей. Для осуществления атаки требовалось знать только номерной знак транспортного средства. Эти уязвимости затрагивали практически все модели Kia, выпущенные после 2013 года, независимо от наличия активной подписки на сервис Kia Connect.
Механизм атаки и потенциальные последствия
Исследователи обнаружили возможность создания фиктивной учетной записи дилера на портале kiaconnect.kdealer[.]com. После аутентификации они смогли сгенерировать действительный токен доступа, открывающий доступ к API дилеров. Это позволяло получить конфиденциальную информацию о владельцах автомобилей, включая имена, номера телефонов, адреса электронной почты и физические адреса.
Более того, эксплуатация уязвимостей давала возможность злоумышленникам:
- Отслеживать местоположение автомобиля
- Удаленно разблокировать двери
- Запускать и глушить двигатель
- Активировать звуковой сигнал
Важно отметить, что все эти действия могли выполняться без ведома и согласия владельца автомобиля. Жертва не получала никаких уведомлений о несанкционированном доступе или изменении прав доступа к системам автомобиля.
Технические детали уязвимостей
Ключевым фактором, позволившим реализовать атаку, стала возможность манипуляции с API дилерского портала. Исследователи смогли авторизоваться на портале, используя обычные учетные данные приложения Kia Connect с измененным значением заголовка channel. После этого они получили возможность вводить VIN-номер автомобиля через API и выполнять различные действия удаленно.
Эксперт по кибербезопасности Сэм Карри прокомментировал: «HTTP-ответ содержал личные данные владельца автомобиля. После авторизации злоумышленник мог ввести VIN через API и удаленно контролировать чужой автомобиль без каких-либо уведомлений владельца».
Последствия для индустрии и меры безопасности
Данный инцидент подчеркивает растущую важность кибербезопасности в автомобильной индустрии. По мере увеличения количества подключенных автомобилей и расширения их функциональности, риски, связанные с уязвимостями в программном обеспечении и инфраструктуре, становятся все более серьезными.
Для минимизации подобных рисков автопроизводителям рекомендуется:
- Регулярно проводить аудит безопасности своих систем и API
- Внедрять многофакторную аутентификацию для доступа к критически важным функциям
- Использовать шифрование данных при их передаче и хранении
- Своевременно обновлять программное обеспечение и устранять обнаруженные уязвимости
Kia оперативно отреагировала на сообщение исследователей и устранила выявленные уязвимости. Компания заявила, что эти проблемы не были использованы злоумышленниками в реальных атаках. Тем не менее, этот случай служит важным напоминанием о необходимости постоянного совершенствования мер кибербезопасности в автомобильной отрасли для защиты пользователей и их данных.