Los compradores de automóviles suelen tener muchas preguntas al comprar un automóvil nuevo, pero pocos se preguntan si un atacante podría controlar remotamente su vehículo utilizando únicamente la información de la matrícula.
Sin embargo, eso es exactamente lo que se permitió hacer a millones de vehículos Kia hasta mediados de agosto, cuando el fabricante de automóviles solucionó un fallo que permitía dicho acceso, después de que investigadores de seguridad independientes les alertaran del problema.
Control remoto de coches y SUV Kia
Este problema es similar a los que el mismo grupo de investigadores y otros han descubierto en los últimos años, y seguramente alimentará grandes preocupaciones sobre el problema. vulnerabilidad de los vehículos conectados modernos a los ciberataques.
En un informe del 26 de septiembreEl investigador independiente Sam Curry dijo que descubrió la vulnerabilidad de Kia durante la investigación de seguimiento sobre varios defectos que él y sus colegas descubrieron hace unos años en vehículos de Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes y otros.
En ese momento, los investigadores demostraron cómo cualquiera podría explotar estas vulnerabilidades para emitir comandos para bloquear y desbloquear vehículos de forma remota, arrancar y detener el motor y activar los faros y la bocina de un vehículo. Algunas fallas permitían a un adversario tomar control remoto de la cuenta de un propietario e impedirle administrar su propio vehículo, mientras que otras permitían el acceso remoto a la cámara de un vehículo, con la posibilidad de ver imágenes en vivo desde el interior del vehículo. Algunos hacks requerían que el adversario tuviera poco más que un número de identificación del vehículo y, a veces, incluso solo la dirección de correo electrónico del propietario.
Un problema con los protocolos API automotrices
Como ocurre con la mayoría de las fallas anteriores, el nuevo problema descubierto por Curry y sus colegas investigadores involucraba los protocolos de interfaz de programación de aplicaciones (API) que permiten controles de Internet al vehículo en los automóviles Kia.
Los investigadores descubrieron que era relativamente fácil registrar una cuenta en un concesionario Kia y autenticarse con la cuenta. Luego podrían usar el token de acceso generado para llamar a las API reservadas para el uso de los concesionarios, para tareas como búsquedas de vehículos y cuentas, registro de propietarios y varias otras funciones.
Después de algunas investigaciones, los investigadores descubrieron que podían usar su acceso a las API del concesionario para ingresar la información de la matrícula de un vehículo y recuperar datos que esencialmente les permitían controlar funciones clave del vehículo. Estas incluían funciones como encender y apagar el encendido, bloquear y desbloquear vehículos de forma remota, activar sus faros y bocina y determinar su geolocalización exacta.
Además, pudieron recopilar la información de identificación personal (PII) del propietario y registrarse discretamente como titular principal de la cuenta. Esto significaba que tenían control de funciones que normalmente sólo estaban disponibles para el propietario. Los problemas afectaron a varios años de modelos de Kia, desde 2024 y 2025 hasta 2013. Con vehículos más antiguos, los investigadores desarrollaron una herramienta de prueba de concepto que mostraba cómo cualquiera podía ingresar la información en la matrícula de un vehículo Kia y ejecutarla en 30 segundos. Comandos remotos en el vehículo.
«El reciente descubrimiento pone de relieve los complejos desafíos que plantean los complejos protocolos API, como gRPC, MQTT y REST, utilizados en automóviles conectados», dice Ivan Novikov, director ejecutivo de la empresa de seguridad API Wallarm. «Los fabricantes de automóviles deberían priorizar el fortalecimiento de sus medidas de ciberseguridad mediante la implementación de métodos de autenticación más sólidos y la seguridad de los canales de comunicación para proteger contra el acceso no autorizado».
Akhil Mittal, gerente senior de estrategia y soluciones de ciberseguridad en Synopsys Software Integrity Group, dice que el nuevo hallazgo resalta cómo las mayores vulnerabilidades en los vehículos conectados a menudo se relacionan con los sistemas que se comunican con el mundo exterior. Él apunta todavía conectado. sistemas telematicos para vehiculos como ejemplo de tal componente.
«Los sistemas de información y entretenimiento son otra preocupación, ya que se conectan a teléfonos inteligentes, aplicaciones y otros servicios, creando más puntos de entrada para los piratas informáticos a la red interna del automóvil», dice Mittal. “El reciente hackeo de Kia realmente resalta cuán débiles pueden ser las API y los servicios en la nube; Si las API que controlan funciones críticas no están protegidas adecuadamente, se convierten en objetivos fáciles para los atacantes. »
Un modelo preocupante de ciberinseguridad en el automóvil
La noticia del hackeo de Kia se suma a las crecientes preocupaciones sobre los vehículos conectados, y no solo sobre su seguridad. A principios de este año, dos altos legisladores estadounidenses criticó a General Motors, Honda y Hyundai para recopilar datos detallados de los vehículos conectados sobre los propietarios y sus movimientos. Los dos legisladores, los senadores Ron Wyden (D-Ore.) y Edward Markey (D-Mass.), calificaron la recopilación de datos por parte de los tres fabricantes de automóviles como un problema sintomático en toda la industria, enfatizando la necesidad de un mayor seguimiento y revisión de las prácticas de los fabricantes de automóviles. .
«Los fabricantes de automóviles han sido irresponsables con la seguridad una y otra vez, y me pregunto cuánto más veremos antes de que se tomen medidas», dice David Brumley, director ejecutivo de la empresa de seguridad de software ForAllSecure. «Ayer, el conductor medio estaba preocupado [the theft of their] llavero. Hoy en día, deben preguntarse si su revendedor o fabricante tiene una API desprotegida. donde esta el [National Transportation Safety Board] ¿Sobre esto?
Kia Motors no respondió de inmediato a una solicitud de comentarios de Dark Reading.
