Una vulnerabilidad crítica en un automóvil Kia permitió a los piratas informáticos controlarlo de forma remota utilizando solo la matrícula. Aunque este fallo se ha solucionado, pone de relieve la creciente amenaza de los ciberataques a los coches conectados.
Se ha descubierto una vulnerabilidad de seguridad crítica en los vehículos Kia que permite a los piratas informáticos controlar de forma remota funciones clave utilizando únicamente la matrícula. investigador de seguridad Neiko Rivera Sam Curry, Justin Reinharty Ian Carroll Hemos descubierto un conjunto de vulnerabilidades que podrían aprovecharse para explotar la infraestructura del concesionario Kia y obtener acceso no autorizado a los vehículos Kia.
El ataque implicó que el atacante registrara remotamente una cuenta falsa y generara un token de acceso. Estos tokens se utilizan junto con otra solicitud HTTP al punto final APIGW (API Gateway) del distribuidor y el VIN (Número de identificación del vehículo) del vehículo para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario, que pueden agregarse como un “token invisible”. “. En el vehículo se encontraba un segundo usuario sin que el propietario lo supiera.
Los investigadores descubrieron que pudieron acceder al vehículo de la víctima realizando cuatro solicitudes HTTP y ejecutando comandos al vehículo desde Internet. Estos comandos incluyen generar un token de distribuidor, obtener el correo electrónico y el número de teléfono de la víctima, cambiar el acceso anterior del propietario utilizando la dirección de correo electrónico y el VIN filtrados y atacar el vehículo como propietario principal. Esto incluye agregar personas adicionales. Las víctimas no reciben notificaciones sobre cambios de permisos. Explique brevemente qué características son vulnerables.
Bloqueo/desbloqueo remoto: puede bloquear o desbloquear la puerta. Determine la ubicación de su vehículo: un pirata informático puede identificar la ubicación de su vehículo. Arranque/parada remota: arranca o para el motor de forma remota. Bocina/luces remotas: Le permite activar la bocina y las luces de su automóvil. Cámaras remotas: En algunos casos, también puedes acceder a la cámara de tu coche.
En un escenario de ataque hipotético, un atacante malintencionado podría comprometer la matrícula de un vehículo Kia, obtener la información de la víctima y ejecutar comandos 30 segundos después. Esta vulnerabilidad permite a los piratas informáticos arrancar o detener el motor de forma remota, lo que podría robar o dañar el vehículo o poner en peligro a sus ocupantes. Esto afectó a una amplia gama de vehículos Kia, incluidos los modelos fabricados después de 2013. Esto significa que un número significativo de coches están potencialmente en riesgo.
Kia abordó estos problemas en agosto de 2024 después de hacer revelaciones responsables en julio de 2024. Aunque no hay evidencia de explotación real, los investigadores advierten que los fabricantes de automóviles podrían introducir vulnerabilidades similares en Meta que podrían permitir a alguien tomar el control de la información de un vehículo. A medida que los automóviles se vuelven más conectados, los fabricantes deben priorizar las medidas de seguridad para proteger a los clientes de posibles amenazas.
Esta no es la primera vez que un equipo formado por hackers éticos como Sam Curry ha comprometido permanentemente la seguridad de los coches conectados. En diciembre de 2022, los piratas informáticos utilizaron la vulnerabilidad de una aplicación para piratear vehículos Honda y Nissa simplemente conociendo el VIN del vehículo.
Comentarios de expertos:
Al comentar sobre esto, Akhil Mittal, gerente senior de consultoría de seguridad de Synopsys Software Integrity Group, dijo: “Esta vulnerabilidad de Kia es más que una simple falla técnica, es una señal de alerta para toda la industria automotriz. Esta imagen muestra cómo los automóviles modernos se han convertido en los principales objetivos del cibercrimen, pasando del robo físico a la explotación digital. desbloquear, rastrear y arrancar su automóvil usando solo el número de su placa suena como ciencia ficción, pero hoy es cierto.
Akhil explicó además: “Si bien la rápida recuperación de Kia es alentadora, plantea una pregunta más amplia: ¿está preparada la industria automotriz para estas amenazas de alta tecnología?” Esto expuso no sólo el control del coche sino también datos personales. Con unos sencillos pasos, los piratas informáticos pueden acceder a información confidencial, cambiar de propietario y tomar el control de un vehículo sin el conocimiento del propietario. Con casi todos los modelos de Kia fabricados después de 2013 afectados, está claro que los automóviles modernos ahora son dispositivos conectados y son vulnerables a los mismos riesgos de ciberseguridad que los teléfonos móviles y las computadoras. “
“Los fabricantes de automóviles deben tomarse la ciberseguridad tan en serio como la seguridad en caso de accidentes. Los automóviles ya no son sólo máquinas, son dispositivos inteligentes con datos que deben protegerse. Actualizaciones periódicas de software, un cifrado más sólido y una mejor comunicación con los conductores son clave. Si la industria no actúa pronto, estos riesgos podrían convertirse en un problema para los conductores cotidianos”, advirtió.
Temas relacionados
Cómo los piratas informáticos pueden desbloquear/arrancar automóviles Honda de forma remota Los ciberdelincuentes aprovechan el hack de inyección CAN para robar automóviles utilizados en todo el mundo El sistema de fidelización Points.com es pirateado porque es algo bueno que los autos Tesla sean Los drones son pirateados de forma remota mediante dongles WIFI Los automóviles conectados a Internet son pirateados y DDoSed a través de teléfonos inteligentes
Hackers Could Remotely Control Kia Cars by Exploiting License Plates
