Una falla en el sistema del concesionario de Kia permitió a un atacante desbloquear y arrancar un Kia de forma remota usando solo la matrícula del automóvil. Kia solucionó la vulnerabilidad en aproximadamente dos meses.
Esta es una nueva llamada de atención para la seguridad del automóvil en el espacio del automóvil conectado
Kia Motors no ha tenido mucho éxito en la seguridad de los vehículos en los últimos años. Desde los Kia Boys que presentaron al mundo los 5 millones de vehículos sin inmovilizador en el mercado hasta los nuevos dispositivos de bolsillo estilo Game Boy, nunca ha sido tan fácil convertirse en un ladrón que apunta a los autos coreanos.
Pero espera, eso no es todo.
Una nueva prueba de concepto lanzada esta semana (llamada simplemente Kiatool) es quizás el ataque más poderoso contra Kia que hemos visto hasta ahora. Y, francamente, este también es probablemente el más aterrador. Afortunadamente, ya se ha parcheado, pero les estoy contando una historia muy importante sobre el futuro de la ciberseguridad automotriz, así que me gustaría que la escuchen de todos modos.
Conoce a Sam Curry. Es uno de mis investigadores de seguridad favoritos especializados en el campo de la automoción. Y tiene un talento especial para asaltar coches. Por supuesto, en lugar de destruir la ventana a la fuerza con un martillo, utilizamos teclas cuidadosamente diseñadas para lograr el mismo efecto. Las víctimas de hoy fueron “casi todos los vehículos Kia fabricados después de 2013”.
Su último ataque utiliza Kia Connect. Para aquellos que no están familiarizados, es un servicio conectado que combina un vehículo con Internet para permitir a los propietarios desbloquear sus autos o encender la calefacción cuando hace frío afuera. Después de un poco de educación, Curry pudo descubrir cómo piratear casi todos los automóviles Kia conectados vendidos en los Estados Unidos durante la última década. Sólo tomó 30 segundos.
Vea una demostración de la herramienta en el vídeo a continuación.
deberías haberme dado un kia
Profundicemos en lo que está pasando aquí. ¿Qué se está explotando y cómo se descubrió?
En última instancia, el ataque se debió a una falla en la interfaz de programación de aplicaciones de Kia. Las API son esencialmente un intermediario que permite que dos aplicaciones se comuniquen entre sí sin exponer la funcionalidad específica de una aplicación a otra. Así es como el coche muestra las listas de reproducción de Spotify, captura datos del tráfico y los superpone en un mapa.
Aún con curiosidad, Currie quería saber cómo se comunica la aplicación de Kia con el automóvil. Esto significa asignar un token de sesión (piense en ello como un permiso virtual de corta duración) a un usuario autenticado, permitiéndole enviar comandos a los servidores de Kia y enviar esas acciones al vehículo. vida real. ¿Cómo pudo Curry obtener estos permisos y conservarlos el tiempo suficiente para llevar a cabo el ataque al vehículo?
Curry pensó entonces que los concesionarios podrían utilizar la plataforma KDealer de Kia para asignar coches nuevos a los propietarios. Curry pudo registrar los automóviles de los clientes haciéndose pasar por un concesionario aprovechando una falla encontrada en la API de KDealer.
Luego, Curry usa una API de terceros para obtener una cotización de un automóvil usado y usa la placa para ingresar el número de identificación del vehículo de la víctima, similar a ingresar un número de placa en lugar de un VIN (VIN). Conecte el VIN a la solicitud del comerciante de falsificaciones y ¡listo! Acceso remoto instantáneo a casi todos los casi 20 modelos de Kia producidos durante la última década.
estas expuesto
Hay varias cuestiones aquí. La primera es la amenaza obvia para el propio vehículo. Así que vayamos directo al grano. Simplemente use su matrícula para desbloquear y arrancar su automóvil. Eso es… realmente horrible. Es como un ataque de relevo con esteroides. Y todo se puede hacer sin que el propietario se dé cuenta de nada (salvo la eventual pérdida del coche y de sus pertenencias).
Aún más aterrador es el tema de la privacidad. El exploit permite al atacante obtener información sobre el nombre del propietario, número de teléfono, dirección de correo electrónico, ubicación del vehículo y, en algunos vehículos, acceder de forma remota a la cámara del vehículo.
En teoría, esto podría permitir a un conductor detenerse para obtener placas en una tienda de comestibles, agregar silenciosamente una cuenta de correo electrónico desechable a la cuenta de Kia del propietario y luego localizar la ubicación y usar la cámara. Esto permite una cadena de ataque que verifica. Esto es para asegurarte de que no haya nadie cerca cuando intentes robar. O peor aún, úselo para apuntar al propietario. Cosa aterradora.
el agujero esta cerrado
La buena noticia es que Kia ya resolvió este problema y el fabricante de automóviles ha confirmado que en realidad no está siendo explotado. Uf.
Como cualquier buen investigador de seguridad, Curry reveló éticamente la falla al fabricante de automóviles cuando la descubrió en junio. Los desarrolladores de Kia repararon la falla unos dos meses después, a mediados de agosto, pero Curry esperó otro mes antes de anunciar sus hallazgos ayer.
La verdadera lección aquí no son los impresionantes defectos de Kia, sino los autos conectados en general. Este es un recordatorio de que si algo se puede abordar en Internet, las fallas pueden traducirse fácilmente en resultados en el mundo real.
Como sociedad, nos hemos vuelto un poco insensibles a los acontecimientos relacionados con la ciberseguridad. A menudo escuchamos sobre ransomware y vulneraciones de números de seguridad social. Se está volviendo rutinario. Pero las cosas se vuelven un poco más concretas cuando le das al atacante una percha virtual y usas tu teléfono celular para desbloquear la puerta de tu auto. Y eso da miedo.
https://insideevs.com/news/735373/kia-hack-cyber-security-researcher/
