26 de septiembre de 2024Ravie Lakshmanan Industria / Tecnología Automotriz
Los investigadores de ciberseguridad han descubierto una serie de vulnerabilidades ya solucionadas en los vehículos Kia. Si se explota, esta vulnerabilidad podría permitir el control remoto de funciones clave usando solo una matrícula.
“Estos ataques se pueden realizar de forma remota en unos 30 segundos en cualquier vehículo equipado con el hardware, independientemente de si tiene o no una suscripción activa a Kia Connect”, dijeron los investigadores de seguridad Neiko Rivera y Sam Curry, Justin Reinhart e Ian Carroll.
El problema afecta a casi todos los vehículos fabricados después de 2013 y también permite a los atacantes acceder en secreto a información confidencial como nombres, números de teléfono, direcciones de correo electrónico y direcciones de las víctimas.
Esencialmente, esto podría ser aprovechado por un adversario para agregarse como un segundo usuario “invisible” del automóvil sin el conocimiento del propietario.
El núcleo de la investigación es que el problema explotó la infraestructura del concesionario Kia utilizada para la activación de vehículos ('kiaconnect.kdealer(.)com') para registrar cuentas falsas a través de solicitudes HTTP y robar tokens de acceso.
Luego, este token se utiliza junto con otra solicitud HTTP al punto final APIGW del concesionario y el número de identificación del vehículo (VIN) del automóvil para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario del automóvil.
Además, los investigadores descubrieron que podían obtener acceso al vehículo de la víctima simplemente emitiendo cuatro solicitudes HTTP y, en última instancia, ejecutando comandos al vehículo desde Internet.
Genere un token de distribuidor y obtenga el encabezado “token” de la respuesta HTTP utilizando el método descrito anteriormente. Obtenga la dirección de correo electrónico y el número de teléfono de la víctima. La dirección de correo electrónico comprometida y el número VIN se utilizan para cambiar el acceso anterior del propietario y agregar al atacante como propietario principal de la cuenta. Al agregar una dirección de correo electrónico controlada por el atacante como propietario principal del vehículo, el atacante puede agregarse al vehículo de la víctima y ejecutar comandos arbitrarios.
“No se notificó a las víctimas que se había accedido a su vehículo ni que se habían cambiado sus privilegios de acceso”, anotaron los investigadores.
“Un atacante podría resolver la matrícula de alguien, ingresar su VIN a través de una API, rastrearlo pasivamente y enviar comandos activos como desbloquear, iniciar o bocina”.
En un escenario de ataque hipotético, una persona malintencionada podría ingresar la matrícula de un vehículo Kia en un tablero personalizado, obtener la información de la víctima y ejecutar comandos en el vehículo aproximadamente 30 segundos después.
Tras la divulgación responsable en junio de 2024, Kia abordó esta deficiencia a partir del 14 de agosto de 2024. No hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza.
“Los coches seguirán siendo vulnerables. Así como Meta introdujo cambios en el código que podrían permitir a alguien hacerse cargo de su cuenta de Facebook, los fabricantes de automóviles harán lo mismo con los coches. “Esto se debe a que es posible”, dijeron los investigadores.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html
