Через два роки після Kia Challenge, коли хакери знайшли спосіб вкрасти практично будь-які KIA та Hyundai, випущені після 2011 року, корейці знову в центрі уваги. Нещодавно виявлена уразливість дозволяє розблокувати та завести будь-яку Kia лише з номерним знаком.
Нещодавно один з хакерів виявив серйозну вразливість у дилерській системі Kia, яка дозволяє зловмисникам отримати контроль над будь-якою автівкою, використовуючи лише номерний знак. Авто можна повністю розблокувати без доступу до брелока чи навіть автомобіля.
Сем Каррі, дослідник безпеки та «білий» хакер, зробив це відкриття разом з одним зі своїх друзів під час дослідження Kia Connect — програми, яка дистанційно керує багатьма функціями автомобіля. Власники використовують цю програму щодня, щоб заблокувати, відімкнути або завести свої автомобілі або просто перевірити їхній стан та підготувати авто до виїзду.
Дослідник виявив, що зв’язок програми KIA Connect із серверами Kia для надсилання команд транспортним засобам є великою проблемою. Керрі використав метод, який дилери Kia застосовують для призначення нових автомобілів власникам через платформу KIA KDealer. Уразливість дозволила йому видати себе за дилерський центр Kia, який намагається зареєструвати автомобіль клієнта.
Щоб отримати контроль, Каррі потрібен був його VIN-код, але він легко доступний, «якщо ви знаєте, де шукати». Для отримання віддаленого доступу до скомпрометованого автомобіля, він розробив інструмент, який використовує сторонній API, щоб зіставити номерний знак жертви разом з її фактичним VIN.
Розроблений засіб працював з кожною моделлю KIA, випущеною за останнє десятиліття. Хакер за лічені секунди отримує не лише доступ до автомобіля, але й до особистих даних. До них входять ім’я, номер телефону, адреса електронної пошти та місцеперебування автомобіля. Зловмисник також може додати себе як другого невидимого користувача транспортного засобу жертви без її відома. На деяких моделях інструмент навіть дозволяє віддалено отримувати доступ до камер автомобіля.
Два роки тому було виявлено, як легко завести двигун більшості моделей Kia та Hyundai. Це стало можливим через відсутність електронного іммобілайзера в багатьох авто, виготовлених у США з 2011 по 2021 рік. Відкриття створило величезні проблеми для власників Hyundai та Kia, і досі залишається чорною плямою на репутації корейських автовиробників.
Щобільше, підлітки все ще зламують автомобілі Hyundai та KIA, хоча без ключа їхати неможливо. Страхувати Hyundai або KIA також складно, оскільки деякі компанії відмовляються покривати ризик викрадення у цьому випадку. Також KIA та Hyundai були серед брендів, нещодавно доданих до сумнозвісної бази емулятора ключів «Game Boy», що полегшило крадіжку.
На щастя, KIA дізналася про нову вразливість перш ніж вона стала проблемою. Корейський автовиробник успішно її виправив, але чергова вдала спроба зламу породжує принципові сумніви у безпеці цих авто.
Бережіть електромобіль! Хакери зламують станції зарядки та змінюють прошивку авто за допомогою технології 1920-х років
Джерело: Autoevolution