Investigadores de ciberseguridad han revelado un conjunto de vulnerabilidades ahora parcheadas en vehículos Kia que, si se hubieran explotado con éxito, podrían haber permitido el control remoto de funciones clave simplemente usando una matrícula.
«Estos ataques podrían ejecutarse de forma remota en cualquier vehículo equipado con hardware en aproximadamente 30 segundos, tenga o no una suscripción activa a Kia Connect», dijeron los investigadores de seguridad Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll. dicho.
Estos problemas afectan a casi todos los vehículos fabricados después de 2013, e incluso permiten a los atacantes acceder en secreto a información confidencial, incluido el nombre, el número de teléfono, la dirección de correo electrónico y la dirección física de la víctima.
Básicamente, el adversario podría abusar de esto para agregarse como un segundo usuario «invisible» en el automóvil sin el conocimiento del propietario.
La esencia de la investigación es que los problemas explotan la infraestructura del concesionario Kia (“kiaconnect.kdealer[.]com») utilizado para activaciones de vehículos para crear una cuenta falsa a través de una solicitud HTTP y luego generar tokens de acceso.
Luego, el token se utiliza junto con otra solicitud HTTP al punto final APIGW de un concesionario y el número de identificación del vehículo (VIN) de un automóvil para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario del vehículo.
Además, los investigadores descubrieron que es posible acceder al vehículo de una víctima simplemente emitiendo cuatro solicitudes HTTP y luego ejecutando comandos de Internet al vehículo.
- Genere el token del distribuidor y obtenga el encabezado «token» de la respuesta HTTP utilizando el método mencionado anteriormente.
- Recuperar la dirección de correo electrónico y el número de teléfono de la víctima
- Edite el acceso anterior del propietario utilizando la dirección de correo electrónico filtrada y el número VIN para agregar al atacante como titular principal de la cuenta.
- Agregue al atacante al vehículo de la víctima agregando una dirección de correo electrónico bajo su control como propietario principal del vehículo, lo que permite ejecutar comandos arbitrarios.
“Por parte de la víctima, no hubo ninguna notificación indicando que se había accedido a su vehículo ni que se habían modificado sus permisos de acceso”, señalan los investigadores.
«Un atacante podría resolver la matrícula de una persona, ingresar su VIN a través de la API, luego rastrearla pasivamente y enviar comandos activos como desbloquear, arrancar o tocar la bocina».
En un escenario de ataque hipotético, un actor malintencionado podría ingresar la matrícula de un vehículo Kia en un tablero personalizado, recuperar la información de la víctima y luego ejecutar comandos en el vehículo después de unos 30 segundos.
Tras una divulgación responsable en junio de 2024, Kia corrigió las fallas el 14 de agosto de 2024. No hay evidencia de que estas vulnerabilidades hayan sido explotadas alguna vez en la naturaleza.
“Los automóviles seguirán teniendo vulnerabilidades, porque de la misma manera que Meta podría introducir un cambio de código que permita a alguien hacerse cargo de su cuenta de Facebook, los fabricantes de automóviles podrían hacer lo mismo con su vehículo”, dijeron los investigadores.