Американский этичный хакер Сэм Карри (Sam Curry) обнаружил опасную уязвимость в южнокорейских автомобилях Kia, благодаря которой можно за короткое время разблокировать машину. Для этого требуется только знать госномер транспортного средства. Эксперт описал проблему в своем блоге.
В июне 2024 года Сэм написал специальную программу для смартфона, которая использовала дилерскую инфраструктуру Kia (kiaconnect.kdealer[.]com), используемую для активации транспортных средств. В этом приложении можно зарегистрировать поддельную учетную запись через HTTP-запрос, а затем сгенерировать токенов доступа. Хакеру достаточно ввести госномер автомобиля, в среднем процедура взлома занимает 30 секунд, вот как она выглядит:
Помимо взлома авто, уязвимость позволяет узнать практически все о настоящем владельце машины: ФИО, номер телефона, адрес электронной почты и фактический адрес проживания. Проблема затрагивает все модели Kia, выпущенные после 2013 года.
Жертва не получит никакого уведомления о том, что доступ к их транспортному средству был получен, или их разрешения доступа были изменены. Злоумышленник может указать номерной знак, ввести свой VIN через API, затем пассивно отслеживать его и отправлять активные команды, такие как разблокировка или запуск ТС.Сэм Карри
К счастью, хакер оказался честным. После того, как он нашел дыру безопасности, он обратился в поддержку Kia. Компания оперативно устранила баг 14 августа 2024 года. СМИ сообщают, что не было ни одного обращения от пострадавших. То есть черные хакеры еще не успели воспользоваться брешью.
Эксперт сравнил современные умные автомобили с соцсетями. И те, и те всегда будут иметь уязвимости. Благо, и разработчики, и дилеры могут удаленно вносить изменения кода в ПО для устранения ошибок.
Ранее мы писали, что российские электромобили «Атом» смогут распознавать лица водителей при помощи ИИ.