KIA autók hackelése
Kiberbiztonsági kutatók nyilvánosságra hoztak egy sor mostanra befoltozott sérülékenységet a Kia járművekben, amelyek sikeres kihasználása esetén lehetővé tette volna a kulcsfontosságú funkciók távvezérlését pusztán a rendszámtábla használatával. „Ezeket a támadásokat távolról bármely hardverrel felszerelt járművön körülbelül 30 másodperc alatt végre lehetett hajtani, függetlenül attól, hogy az aktív Kia Connect előfizetéssel rendelkezett-e” – közölték Neiko Rivera, Sam Curry, Justin Rhinehart és Ian Carroll biztonsági kutatók. A problémák szinte minden 2013 után gyártott járművet érintenek, sőt, a támadók titokban olyan érzékeny információkhoz is hozzáférhetnek, mint az áldozat neve, telefonszáma, e-mail címe és fizikai címe. Lényegében ezt aztán egy rosszindulatú személy arra használhatja fel, hogy a tulajdonos tudta nélkül „láthatatlan” második felhasználóként hozzáadja magát az autóhoz. A kutatás lényege, hogy a problémák kihasználják a Kia márkakereskedés járműaktiváláshoz használt infrastruktúráját („kiaconnect.kdealer[.]com”), hogy egy HTTP-kérésen keresztül hamis fiókot regisztráljanak, majd hozzáférési tokeneket generáljanak. A tokent ezt követően egy másik HTTP-kérelemmel együtt használják egy kereskedő APIGW végpontjához és a jármű azonosítószámához (VIN), hogy megszerezzék a jármű tulajdonosának nevét, telefonszámát és e-mail címét.
A Kia 2024. augusztus 14-től javította a hibákat. Nincs bizonyíték arra, hogy ezeket a sérülékenységeket valaha is aktívan kihasználták volna.
