Wada bezpieczeństwa w samochodach Kia pozwala hakerom przejąć kontrolę nad pojazdami, używając numerów rejestracyjnych.

Niedawne śledztwo odkryło lukę bezpieczeństwa w systemach połączonych z internetem Kia, narażając miliony pojazdów na potencjalne ataki hakerskie.

Niezależni badacze bezpieczeństwa odkryli, że mając tablicę rejestracyjną pojazdu marki Kia, można włamać się do samochodu i uzyskać nieautoryzowany dostęp do kluczowych funkcji, takich jak otwieranie drzwi, śledzenie lokalizacji, a nawet uruchamianie zapłonu – w zaledwie kilka sekund.

Badacze, którzy wcześniej zidentyfikowali podobne luki w zabezpieczeniach u różnych producentów samochodów, zwrócili się z tym problemem do firmy Kia w czerwcu. Mimo że firma wprowadziła poprawkę, wygląda na to, że problem nie został w pełni rozwiązany.

„Im więcej się w to zagłębialiśmy, tym bardziej było oczywiste, że bezpieczeństwo internetowe pojazdów jest bardzo słabe,” powiedział Neiko Rivera, jeden z badaczy zaangażowanych w odkrycie, jak podaje WIRED.

Podczas swojego śledztwa, badacze znaleźli lukę w portalu internetowym obsługiwanym przez Kia. Ta wada umożliwiła im przejęcie kontroli nad funkcjami podłączonymi do internetu w większości nowoczesnych pojazdów Kia.

Dotknięte modele reprezentują miliony samochodów na drogach. Wykorzystując tę lukę, badacze mogli przenieść kontrolę z telefonu komórkowego właściciela pojazdu na swoje własne urządzenia.

Według Sama Curry’ego, innego członka zespołu badawczego, ta wada mogłaby umożliwić hakerowi śledzenie ruchów danej osoby.

„Jeśli ktoś by cię wyprzedził na drodze, mogłabyś zeskanować ich tablicę rejestracyjną, a potem wiedzieć, gdzie są, kiedy tylko chcesz i włamać się do ich samochodu,” powiedział Curry dla WIRED.

„Gdybyśmy nie zwrócili na to uwagi Kia, każdy, kto mógłby sprawdzić czyjąś tablicę rejestracyjną, mógłby w zasadzie nimi śledzić.”

Badacze przetestowali swoją metodę na różnych pojazdach Kia, w tym na samochodach wynajmowanych i tych znajdujących się na placach dealerów, potwierdzając jej skuteczność na każdym kroku.

Aby zilustrować, jak łatwo można wykorzystać te podatności, badacze stworzyli intuicyjny panel użytkownika.

To narzędzie pozwalało użytkownikom na wprowadzenie numeru tablicy rejestracyjnej i uzyskanie osobistych danych właściciela, pokazując, jak napastnik mógł przejąć kontrolę nad pojazdem.

Pulpit zawierał formularz, który konwertował numer tablicy rejestracyjnej na numer identyfikacyjny pojazdu (VIN). Przycisk „Przejęcie” wykonywał serię kroków, aby uzyskać dostęp do pojazdu.

Dodatkowo, kolejny przycisk wyświetlał osobiste informacje właściciela. Na koniec, zakładka „Garaż” umożliwiała atakującemu wykonywanie poleceń na skompromitowanych pojazdach.

WIRED zwraca uwagę, że liczne podatności na stronach internetowych producentów samochodów, umożliwiające zdalne sterowanie pojazdami, wynikają z dążenia do przyciągnięcia konsumentów funkcjami obsługiwanymi przez smartfony.

Stefan Savage, profesor informatyki na UC San Diego, podkreśla, że integracja tych funkcji zwiększa ryzyko związane z bezpieczeństwem, jak zauważył WIRED.