Возилата на Kia се популарни автомобили кои се возат и во Македонија. Неодамна дознавме дека нема приватност кога автомобилите се во прашање, а сега безбедносните експерти ни прикажаа колку се „безбедни“ возилата на Kia. Oткриените ранливости во автомобилите уште еднаш го потврдуваат зголемениот ризик од дигитални напади врз современите автомобили. Според истражувањата на безбедносни експерти, овие ранливости – кои за среќа сега се надминати – можеа да им овозможат на напаѓачите далечинско преземање на важни функции на возилата, користејќи единствено податоци од регистарски таблици.
“Овие напади можеа да се извршат далечински на секое возило опремено со соодветен хардвер за помалку од 30 секунди, без разлика дали возилото имало активна Kia Connect претплата,” изјавија истражувачите Неико Ривера, Сем Кари, Џастин Рајнхарт и Иан Керол.
Зафатени речиси сите KIA возила
Пропустот е присутен кај речиси сите Kia возила произведени по 2013 година. Напаѓачите имаат пристап до чувствителни информации, како што се името, телефонскиот број, имејл адресата и физичката адреса на жртвите. Ако ова не ве исплаши доволно, напаѓачите можеа да ги злоупотребат овие податоци и да се додадат како „невидлив“ примарен корисник на возилото, без знаење на сопственикот.
Истражувањето открило дека ранливостите се врзани со инфраструктурата на Kia за активирање на возила, преку порталот „kiaconnect.kdealer.com“. Со HTTP барање, напаѓачите можеле регистрираат лажен акаунт, да генерираат токени за пристап кои потоа се користат за да добијат чувствителни податоци за возилото, вклучувајќи го и идентификацискиот број на возилото (VIN), пишува Hacker News.
Како се извршува нападот врз возилата
Нападот се состои од четири едноставни чекори:
- Генерирање на дилерски токен и повлекување на хедерот на токенот од од HTTP одговорот.
- Повлекување на имејл адресата и телефонскиот број на жртвата.
- Правење промени користејќи ги претходно откриените имејл адреса и VIN број. Овие промени му овозможуваат на напаѓачот да се постави како примарен сопственик на акаунтот.
- По ова, напаѓачот може да додаде сопствена адреса со која ќе може да извршува команди.
Она што е пострашно е дека вистинскиот сопственик на возилото нема да добие никаква нотификација. Нема да знае дека се направени никакви промени, ниту дека неговите пермисии се променети.
Вешти напаѓачи можеа да дојдат до контрола врз возилото на жртвите за само 30 секунди. За ова е потребна единствено регистрацијата. Потоа може да извршуваат наредби кои ќе им овозможат да го отклучат возилото, да го запалат или да ја активираат сирената.
Добра вест е дека откако пропустот беше откриен и пријавен Kia издаде закрпа со која се надминаа проблемите. Дополнително, нема доказ дека некој навистина го злоупотребил пропустот. Kia го поправи пропустот по околу еден месец, но позагрижувачка е леснотијата со која злонамерни напаѓачи можеа да се здобијат со контрола врз возилото.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
