Els investigadors de ciberseguretat han revelat un conjunt de vulnerabilitats ja resoltes als vehicles Kia que, si s’aprofitaven amb èxit, podrien haver permès el control remot de les funcions clau simplement amb l’ús només d’una matrícula.

Els investigadors de seguretat Neiko Rivera, Sam Curry, Justin Rhinehart i Ian Carroll expliquen que «Aquests atacs es podrien haver executat de manera remota en qualsevol vehicle equipat amb maquinari en uns 30 segons, independentment de si tenia una subscripció activa a Kia Connect». Els problemes afecten gairebé tots els vehicles fabricats després del 2013, fins i tot permeten que els atacants accedeixin de manera encoberta a informació delicada, com ara el nom, el número de telèfon, l’adreça de correu electrònic i l’adreça física de la víctima.

Essencialment, l’atacant podria abusar d’això per afegir-se com a segon usuari «invisible» del cotxe sense el coneixement del propietari.

El quid de la investigació és que els problemes exploten la infraestructura del concessionari Kia (“kiaconnect.kdealer[.]com”) que s’utilitza per a les activacions de vehicles per registrar un compte fals mitjançant una sol·licitud HTTP i després generar fitxes d’accés.

El testimoni s’utilitza posteriorment juntament amb una altra sol·licitud HTTP a un punt final APIGW del concessionari i el número d’identificació del vehicle (VIN en anglès) d’un cotxe per obtenir el nom, el número de telèfon i l’adreça de correu electrònic del propietari del vehicle.

A més, els investigadors van trobar que és possible accedir al vehicle d’una víctima tan trivialment com emetre quatre sol·licituds HTTP i, finalment, executar ordres d’Internet al vehicle:

• Generar el testimoni del distribuïdor i recuperar la capçalera «token» de la resposta HTTP mitjançant el mètode esmentat anteriorment.
• Obtenir l’adreça electrònica i el número de telèfon de la víctima.
• Modificar l’accés anterior del propietari mitjançant l’adreça electrònica filtrada i el número VIN per afegir l’atacant com a titular del compte principal.
• Afegir un atacant al vehicle víctima incorporant una adreça de correu electrònic sota el seu control com a propietari principal del vehicle, la qual cosa li permet executar ordres arbitràries

«Des de la banda de la víctima, no hi va haver cap notificació que s’hagués accedit als seus vehicles ni els seus permisos d’accés modificats», van assenyalar els investigadors.

«Un atacant podria esbrinar la matrícula d’algú, introduir el seu VIN a través de l’API, després fer-ne un seguiment passiu i enviar ordres actives com ara desbloquejar, engegar o tocar la botzina. En un escenari d’atac hipotètic, un mal actor podria introduir la matrícula d’un vehicle Kia en un tauler personalitzat, recuperar la informació de la víctima i executar ordres al vehicle en tan sols 30 segons».

Després de la divulgació responsable el juny de 2024, Kia va abordar els defectes a partir del 14 d’agost de 2024. No hi ha proves que aquestes vulnerabilitats s’hagin explotat mai a la vida real.

Els investigadors també van afirmar que «Els cotxes continuaran tenint vulnerabilitats, perquè de la mateixa manera que Meta podria introduir un canvi de codi que permetria que algú es fes càrrec del vostre compte de Facebook, els fabricants d’automòbils podrien fer el mateix amb el vostre vehicle.»