Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badacze pokazali jak można było prostym hackiem zdalnie przejąć samochody Kia. Podatne były wybrane modele od 2015 roku w górę, a dodatkowo według badaczy z USA nie było istotne czy ktoś miał aktywowaną subskrypcję Kia Connect.
W cytowanym badaniu wystarczyło znać numer rejestracyjny samochodu (lub nr VIN). Następnie można było go zdalnie otworzyć, uruchomić, mieć dostęp do kamer (w wybranych modelach). Można było też mieć dostęp do fizycznej lokalizacji auta czy emaila / numeru telefonu właściciela.
Fragment listy wskazanych przez badaczy podatnych modeli:
Badacze stworzyli nawet appkę, w której najpierw podaje się nr tablicy rejestracyjnej, a po krótkim czasie można wykonywać polecenia na samochodzie:
Jak to wyglądało od strony technicznej? Badacze namierzyli serwis webowy, gdzie można było założyć swojego dealera Kia (!). W szczególności ustawić jego login / hasło.
Mając login / hasło dealera, można było następnie odpowiednim żądaniem do API poznać dane właściciela samochodu (trzeba było znać nr VIN). Mając dane właściciela, wysyłane były kolejne żądania do API odłączające konto właściciela od samochodu, a następnie do samochodu dołączane było konto atakującego. Całość wg schematu:
Badanie było prowadzone w USA (gdzie można na podstawie numeru z tablicy rejestracyjnej poznać numer VIN; w innych krajach najpewniej żeby przeprowadzić atak wymagana była znajomość numeru VIN).
Podatność została załatana w okolicach sierpnia 2024. KIA potwierdziła, że opisywany atak nie był ani razu użyty w złośliwych celach.
~ms
Dlatego pierwsza rzecz którą należy zrobić po zakupie „””nowoczesnego””” samochodu to usunięcie z niego wszystkich modułów komórkowych/kart sim/anten OnStar.
A jeszcze lepiej kupić stary samochód.