Badacze pokazali jak można było prostym hackiem zdalnie przejąć samochody Kia. Podatne były wybrane modele od 2015 roku w górę, a dodatkowo według badaczy z USA nie było istotne czy ktoś miał aktywowaną subskrypcję Kia Connect.

W cytowanym badaniu wystarczyło znać numer rejestracyjny samochodu (lub nr VIN). Następnie można było go zdalnie otworzyć, uruchomić, mieć dostęp do kamer (w wybranych modelach). Można było też mieć dostęp do fizycznej lokalizacji auta czy emaila / numeru telefonu właściciela.

Fragment listy wskazanych przez badaczy podatnych modeli:

Badacze stworzyli nawet appkę, w której najpierw podaje się nr tablicy rejestracyjnej, a po krótkim czasie można wykonywać polecenia na samochodzie:

Jak to wyglądało od strony technicznej? Badacze namierzyli serwis webowy, gdzie można było założyć swojego dealera Kia (!). W szczególności ustawić jego login / hasło.

Mając login / hasło dealera, można było następnie odpowiednim żądaniem do API poznać dane właściciela samochodu (trzeba było znać nr VIN). Mając dane właściciela, wysyłane były kolejne żądania do API odłączające konto właściciela od samochodu, a następnie do samochodu dołączane było konto atakującego. Całość wg schematu:

Badanie było prowadzone w USA (gdzie można na podstawie numeru z tablicy rejestracyjnej poznać numer VIN; w innych krajach najpewniej żeby przeprowadzić atak wymagana była znajomość numeru VIN).

Podatność została załatana w okolicach sierpnia 2024. KIA potwierdziła, że opisywany atak nie był ani razu użyty w złośliwych celach.

~ms