Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badacze pokazali jak można było prostym hackiem zdalnie przejąć samochody Kia. Podatne były wybrane modele od 2015 roku w górę, a dodatkowo według badaczy z USA nie było istotne czy ktoś miał aktywowaną subskrypcję Kia Connect.
W cytowanym badaniu wystarczyło znać numer rejestracyjny samochodu (lub nr VIN). Następnie można było go zdalnie otworzyć, uruchomić, mieć dostęp do kamer (w wybranych modelach). Można było też mieć dostęp do fizycznej lokalizacji auta czy emaila / numeru telefonu właściciela.
Fragment listy wskazanych przez badaczy podatnych modeli:
Badacze stworzyli nawet appkę, w której najpierw podaje się nr tablicy rejestracyjnej, a po krótkim czasie można wykonywać polecenia na samochodzie:
Jak to wyglądało od strony technicznej? Badacze namierzyli serwis webowy, gdzie można było założyć swojego dealera Kia (!). W szczególności ustawić jego login / hasło.
Mając login / hasło dealera, można było następnie odpowiednim żądaniem do API poznać dane właściciela samochodu (trzeba było znać nr VIN). Mając dane właściciela, wysyłane były kolejne żądania do API odłączające konto właściciela od samochodu, a następnie do samochodu dołączane było konto atakującego. Całość wg schematu:
Badanie było prowadzone w USA (gdzie można na podstawie numeru z tablicy rejestracyjnej poznać numer VIN; w innych krajach najpewniej żeby przeprowadzić atak wymagana była znajomość numeru VIN).
Podatność została załatana w okolicach sierpnia 2024. KIA potwierdziła, że opisywany atak nie był ani razu użyty w złośliwych celach.
~ms
Dlatego pierwsza rzecz którą należy zrobić po zakupie „””nowoczesnego””” samochodu to usunięcie z niego wszystkich modułów komórkowych/kart sim/anten OnStar.
A jeszcze lepiej kupić stary samochód.
konia najlepiej kup razez z wozem
Potwierdzam, szczegolnie ze OnStar jest conajmniej od 5 lat wylaczony bo PSA zastapila go jakims swoim systemem. Powodzenie tez z wydlubywaniem karty sim, szczegolnie jak to esim. Mozesz tez Janku usunac tylna szybe ktora w niektorych autach pelni funkcje anteny i np zastapic ja kawalkiem dykty. Na sam koniec jesli posiadasz garaz, koniecznie sciany wyloz folia aluminiowa.
Ciekawe czy bedziesz taki przesmiewczy, jak samochody zaczna raportowac Twoje ekscesy na drodze (np. przekroczenie predkosci) do ubezpieczyciela albo od razu do ukarania odpowiednim mandatem.
Nie da się tego usunąć, mam nadzieję że pomogłem ;)
w niektórych markach da się, odpinasz i wykodowujesz moduł pozdrawiam :)
I przyodzianie foliowej czapki
Ja tam całe życie jeżdżę klasykami :-)
W nowym samochodzie jak chcesz mieć gwarancję na auto to nic takiego nie możesz zrobić.
Wiele typów ingerencji jest raportowanych w czasie rzeczywistym dealerowi/producentowi.
Raz spóźniłem się do ASO (umówiony termin), bo auto stało jakiś czas i akumulator za bardzo się rozładował przez co nie mogłem uruchomić silnika. (naszpikowanie elektroniką ma swoją cenę)
Jak podałem numer rejestracji to wszystko wiedzieli.
ECU raportuje nawet kiedy i ile masz otworzoną maskę auta. 🙃
Od siebie dodam, że aplikacja KIA nie uruchomi się na zrootowanym smartfonie bez kombinacji.
Widać chronią zapytania API – „Security by obsecurity”
„A jeszcze lepiej kupić stary samochód.” – jeszcze … Widać niestety w jakim to kierunku idzie i za jakiś czas faktem stanie się, że starym autem nie będziesz mógł wjechać do wielu większych miast.
Koła też zdemontuj 🤦🏻🤣🤣🤣
Przecież każdy ma VIN w dolnej części szyby.
Wystarczy podejść.
> usunięcie z niego wszystkich modułów komórkowych/
> kart sim/anten OnStar.
Jak to zrobić?
> A jeszcze lepiej kupić stary samochód.
Nie.
Nie jestem miłośnikiem suvów, bo to bardziej maszyny rolnicze ani genderowej motoryzacji. Nie jest to oszczędne,ani ładne, ani męskie, ani kobiece – genderowe. I takie miało być, takie były plany które latały w latach 2000 w filmach z żółtymi napisami.
Wg agendy 2030 Klausa to i tak mamy 12 lat na względne poruszanie się spalinówkami. Nie wiadomo tylko kto sie załapie bo IV Rewolucja Przemysłowa mówi, że „władcy” nie potrzebują już zbyt dużo niewolników, a ci którzy nie są potrzebni tylko gazy puszczają. Trzeba w stodole kitrać samochody i motocykle na briefie, nie przerejestrowowywać na wypadek scenariuszu z mad maxa.
Nie kupowalbym samochodow kia jezeli nie potrafia wprowadzic prostego bezpieczenstwa w api.
Dla kogo ta rada? jak ktoś kupił wczesniej to nie wiedział ze nie potrafią a teraz juz wie ze naprawili i potrafią.