Революция в автокражбите: Доскоро всеки модел на Kia можеше да бъде хакнат с помощта на смартфон
Регистрационният номер - всичко, което хакерът би трябвало да знае, с цел да получи достъп до автомобила ви...
Емил Василев 15:35 | 27.09.2024 13 СподелиНай-четени
Изкуствен интелектЕмил Василев - 17:28 | 26.09.2024Гугъл похарчи съвсем 3 милиарда $, с цел да си върне някогашен чиновник, талант в региона на ИИ
IT НовиниДаниел Десподов - 11:12 | 25.09.2024След хиляди години най-сетне знаем кое основава статичното електричество
IT НовиниДаниел Десподов - 11:07 | 24.09.2024Научен пробив: CO₂ се трансформира в мощен антиоксидант за битка със стареенето
Емил Василевhttps://www.kaldata.com/Изследователи в региона на сигурността са разкрили сериозни уязвимости в портала на дилърите на Kia, които разрешават на нападателите да крадат колите изцяло безпроблемно.
Установените проблеми разрешават всеки модел на южнокорейската марка, създаден след 2013 година да бъде хакнат, като се употребява единствено регистрационният му номер.
Изследователи по сигурността за първи път идентифицираха сериозни пропуски в цифровите системи на повече от 10 автомобилни марки през 2022 година Тогава уязвимостите позволяваха на нападателите да откриват, заключват, отключват и даже започват отдалечено мотора на повече от 15 милиона автомобила от премиум марки като Ferrari, BMW, Rolls Royce и Porsche.
В този случай става въпрос за пробив в портала Kia Connect, открит на 11 юни тази година, който е разрешил достъп до ръководството на всеки автомобил Kia с отдалечено съоръжение, даже в случай че той няма задействан абонамент за Kia Connect.
Уязвимостите разкриха и персонална информация на притежателите на коли, в това число име, телефонен номер, имейл и физически адрес. Нападателите също по този начин можеха да прибавят себе си в системата като втори консуматор без знанието на притежателя.
За да показва казуса, изследователският екип сътвори инструмент, който разрешава единствено с регистрационен номер да се прибавят коли към неговия „ виртуален гараж “ и по-късно отдалечено да се заключват, отключват, започва или стопира моторът, да се подава звуков сигнал или да се локализира автомобилът на картата.
Свързвайки се с портала на дилърите на Kia, откривателите са записали фаворизиран акаунт и са генерирали годен токен за достъп. Този токен разрешавал да се употребяват бекенд API на дилъра, предоставяйки сериозна информация за притежателя на автомобила и цялостен надзор върху отдалечените функционалностите му, в това число:
Генериране на токен на дилър и извличането му от HTTP отговор; Получаване на достъп до имейл адреса и телефонния номер на притежателя на автомобила; Промяна на правата за достъп с потреблението на получените данни; Добавяне на личен имейл адрес към акаунта на автомобила за отдалеченото му ръководство.Поради откритите нарушавания неоторизираният достъп до автомобил е можел да бъде сбъднат скрито, защото притежателят му не получава съобщение за хакерската офанзива, нито съобщение, че правата за достъп са изменени.
Добрата вест е, че всички уязвимости към този момент са отстранени. Според откривателите, инструментът, проявяващ хакването в никакъв случай не е бил оповестен онлайн, а екипът на Kia удостовери, че откритите дефекти не са били употребявани за злонамерени цели.