Революция автоугона: любую модель Kia можно взломать со смартфона

Исследователи безопасности обнаружили критические уязвимости в дилерском портале Kia, позволяющие злоумышленникам без шума и пыли похищать припаркованные автомобили этой марки. Выявленные проблемы позволяют взломать любые модели южнокорейского бренда, выпущенные после 2013 года, используя лишь номерной знак машины.

Впервые в 2022 году исследователи безопасности, включая «охотника за уязвимостями» Сэма Карри, выявили критические бреши в цифровых системах более чем десятка автомобильных брендов. Тогда уязвимости позволяли злоумышленникам удалённо обнаруживать, блокировать, разблокировать и даже запускать двигатель свыше 15 миллионов авто премиальных брендов, таких как Ferrari, BMW, Rolls Royce и Porsche.

На этот раз Карри сообщил, что обнаруженные 11 июня этого года бреши в портале Kia Connect открывали доступ к управлению любым автомобилем Kia с удалённым оборудованием, даже если у него не была активирована подписка Kia Connect.

Кроме того, уязвимости раскрывали личные данные владельцев автомобилей, включая имя, телефон, электронную почту и физический адрес. Также злоумышленники могли добавить себя в систему как второго пользователя без ведома владельца.

Чтобы продемонстрировать проблему, команда исследователей создала инструмент, который позволял с помощью одного лишь номерного знака добавлять автомобили в свой «виртуальный гараж», а затем удалённо блокировать, разблокировать, заводить или останавливать двигатель, сигналить или находить машину на карте.

Подключившись к дилерскому порталу Kia («kiaconnect.kdealer.com»), специалисты зарегистрировали привилегированную учётную запись и сгенерировали действующий токен доступа. Этот токен позволял задействовать API дилерского бэкэнда, предоставляя критическую информацию о владельцах автомобилей и полный контроль над удалёнными функциями машин.

Злоумышленники могли воспользоваться этим API для получения следующих возможностей:

• Сгенерировать токен дилера и получить его из HTTP-ответа;
• Получить доступ к электронной почте и номеру телефона владельца авто;
• Изменить права доступа, используя полученные данные;
• Добавить собственный адрес электронной почты к учётной записи автомобиля, чтобы управлять машиной удалённо.

Из-за выявленных брешей несанкционированный доступ к автомобилю мог быть осуществлён скрытно, поскольку владельцу не поступало ни уведомлений о взломе, ни оповещений о том, что права доступа были изменены.

Тем не менее, все уязвимости уже были устранены. По словам Карри, инструмент, демонстрирующий взлом, никогда не публиковался в сети, а команда Kia подтвердила, что обнаруженные недостатки не были использованы в злонамеренных целях.