Εκατομμύρια αυτοκίνητα Kia ευάλωτα σε hack λόγω ευπάθειας
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Εκατομμύρια αυτοκίνητα Kia ευάλωτα σε hack λόγω ευπάθειας
https://www.secnews.gr/622044/ekatommiria-aftokinita-kia-evalota-hack-logo-efpatheias/
Sep 27th 2024, 11:23
Μια ομάδα ερευνητών ασφαλείας ανακάλυψε κρίσιμες ευπάθειες στην πύλη αντιπροσώπων της Kia που θα μπορούσαν να επιτρέψουν σε χάκερ να εντοπίσουν και να κλέψουν εκατομμύρια αυτοκίνητα της εταιρείας που κατασκευάστηκαν μετά το 2013, χρησιμοποιώντας μόνο την πινακίδα του στοχευόμενου οχήματος.
Δείτε επίσης: Kia EVs: Πότε αποκτούν πρόσβαση στους Tesla Superchargers;
Σχεδόν πριν από δύο χρόνια, το 2022, μερικοί από τους ερευνητές αυτής της ομάδας, συμπεριλαμβανομένου του ερευνητή ασφαλείας Sam Curry, βρήκαν άλλες κρίσιμες ευπάθειες που επηρεάζουν περισσότερες από δώδεκα εταιρείες αυτοκινήτων, που θα επέτρεπαν στους εγκληματίες να εντοπίσουν εξ αποστάσεως, να απενεργοποιήσουν τους εκκινητές, να ξεκλειδώσουν και να βάλουν μπροστά πάνω από 15 εκατομμύρια οχήματα που κατασκευάζονται από τις Ferrari, BMW, Rolls Royce, Porsche και άλλες αυτοκινητοβιομηχανίες.
Ο Curry αποκάλυψε ότι οι ευπάθειες της διαδικτυακής πύλης της Kia που ανακαλύφθηκαν στις 11 Ιουνίου 2024, θα μπορούσαν να χρησιμοποιηθούν για τον έλεγχο οποιουδήποτε αυτοκινήτου Kia εξοπλισμένου με απομακρυσμένο υλικό, σε λιγότερο από 30 δευτερόλεπτα, «ανεξάρτητα από το αν είχε ενεργή συνδρομή στο Kia Connect».
Τα ελαττώματα εξέθεσαν επίσης ευαίσθητα προσωπικά στοιχεία των ιδιοκτητών, όπως το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση email και τη φυσική τους διεύθυνση και θα μπορούσαν να έχουν επιτρέψει στους εισβολείς να προσθέσουν τον εαυτό τους ως δεύτερο χρήστη στα στοχευμένα οχήματα χωρίς να το γνωρίζουν οι ιδιοκτήτες.
Για να αποδείξει περαιτέρω το πρόβλημα, η ομάδα κατασκεύασε ένα εργαλείο που δείχνει πώς ένας εισβολέας μπορούσε να εισάγει την πινακίδα κυκλοφορίας ενός οχήματος και μέσα σε 30 δευτερόλεπτα, να κλειδώσει ή να ξεκλειδώσει από απόσταση το αυτοκίνητο, να το βάλει μπροστά ή να το σταματήσει, να κορνάρει ή να εντοπίσει το όχημα.
Δείτε ακόμα: Οι πωλήσεις της Kia στην Κίνα αυξάνονται χάρη στο EV5
Οι ερευνητές έφτιαξαν έναν λογαριασμό αντιπροσώπου στην πύλη εμπόρων kiaconnect.kdealer.com της Kia για να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες. Μετά τον έλεγχο ταυτότητας, δημιούργησαν ένα έγκυρο διακριτικό πρόσβασης που τους έδωσε πρόσβαση σε backend API αντιπροσώπων, παρέχοντάς τους κρίσιμες λεπτομέρειες για τον ιδιοκτήτη του οχήματος και πλήρη πρόσβαση στα τηλεχειριστήρια του αυτοκινήτου.
Ευπάθειες στην πύλη αντιπροσώπων της Kia επιτρέπει κλοπή αυτοκινήτων
Διαπίστωσαν ότι οι εισβολείς μπορούσαν να χρησιμοποιήσουν το API αντιπροσώπου υποστήριξης για να:
Δημιουργήσουν ένα διακριτικό αντιπροσώπου και να το ανακτήσουν από την απόκριση HTTP
Έχουν πρόσβαση στη διεύθυνση email και τον αριθμό τηλεφώνου του θύματος
Τροποποιήσουν τα δικαιώματα πρόσβασης του κατόχου χρησιμοποιώντας πληροφορίες που διέρρευσαν
Προσθέσουν ένα email ελεγχόμενο από τον εισβολέα στο όχημα του θύματος, επιτρέποντας απομακρυσμένες εντολές
Από εκεί, οι επιτιθέμενοι μπορούσαν να εισαγάγουν το VIN ενός οχήματος (αριθμός αναγνώρισης οχήματος) μέσω του API και να παρακολουθήσουν, να ξεκλειδώσουν, να ξεκινήσουν ή να κορνάρουν από απόσταση το αυτοκίνητο χωρίς να το γνωρίζει ο ιδιοκτήτης.
Δείτε επίσης: Volvo: Εγκαταλείπει το στόχο για πλήρως ηλεκτρικά αυτοκίνητα έως το 2030
Οι ευπάθειες της διαδικτυακής πύλης της Kia επέτρεψαν την αθόρυβη, μη εξουσιοδοτημένη πρόσβαση σε ένα αυτοκίνητο, καθώς όπως εξήγησε ο Curry, «από την πλευρά του θύματος, δεν υπήρχε καμία ειδοποίηση ότι το όχημά του παραβιάστηκε ούτε τροποποιήθηκαν οι άδειες πρόσβασής του».
To hacking αυτοκινήτvn, αναφέρεται στη χειραγώγηση ή εκμετάλλευση των ηλεκτρονικών συστημάτων ελέγχου ενός οχήματος. Με την αυξανόμενη ενσωμάτωση της τεχνολογίας και της συνδεσιμότητας στα σύγχρονα αυτοκίνητα, έχουν εμφανιστεί τρωτά σημεία, δημιουργώντας ευκαιρίες για μη εξουσιοδοτημένη πρόσβαση. Τέτοιες παραβιάσεις θα μπορούσαν να οδηγήσουν σε μη εξουσιοδοτημένο έλεγχο κρίσιμων λειτουργιών όπως το τιμόνι, το φρενάρισμα ή η λειτουργία του κινητήρα, θέτοντας σημαντικούς κινδύνους για την ασφάλεια. Η αυτοκινητοβιομηχανία εργάζεται ενεργά για να αντιμετωπίσει αυτές τις απειλές ενισχύοντας τα μέτρα κυβερνοασφάλειας και αναπτύσσοντας ισχυρά συστήματα για την προστασία των οχημάτων από τέτοιου είδους εκμεταλλεύσεις.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Εκατομμύρια αυτοκίνητα Kia ευάλωτα σε hack λόγω ευπάθειας
https://www.secnews.gr/622044/ekatommiria-aftokinita-kia-evalota-hack-logo-efpatheias/
Sep 27th 2024, 11:23
Μια ομάδα ερευνητών ασφαλείας ανακάλυψε κρίσιμες ευπάθειες στην πύλη αντιπροσώπων της Kia που θα μπορούσαν να επιτρέψουν σε χάκερ να εντοπίσουν και να κλέψουν εκατομμύρια αυτοκίνητα της εταιρείας που κατασκευάστηκαν μετά το 2013, χρησιμοποιώντας μόνο την πινακίδα του στοχευόμενου οχήματος.
Δείτε επίσης: Kia EVs: Πότε αποκτούν πρόσβαση στους Tesla Superchargers;
Σχεδόν πριν από δύο χρόνια, το 2022, μερικοί από τους ερευνητές αυτής της ομάδας, συμπεριλαμβανομένου του ερευνητή ασφαλείας Sam Curry, βρήκαν άλλες κρίσιμες ευπάθειες που επηρεάζουν περισσότερες από δώδεκα εταιρείες αυτοκινήτων, που θα επέτρεπαν στους εγκληματίες να εντοπίσουν εξ αποστάσεως, να απενεργοποιήσουν τους εκκινητές, να ξεκλειδώσουν και να βάλουν μπροστά πάνω από 15 εκατομμύρια οχήματα που κατασκευάζονται από τις Ferrari, BMW, Rolls Royce, Porsche και άλλες αυτοκινητοβιομηχανίες.
Ο Curry αποκάλυψε ότι οι ευπάθειες της διαδικτυακής πύλης της Kia που ανακαλύφθηκαν στις 11 Ιουνίου 2024, θα μπορούσαν να χρησιμοποιηθούν για τον έλεγχο οποιουδήποτε αυτοκινήτου Kia εξοπλισμένου με απομακρυσμένο υλικό, σε λιγότερο από 30 δευτερόλεπτα, «ανεξάρτητα από το αν είχε ενεργή συνδρομή στο Kia Connect».
Τα ελαττώματα εξέθεσαν επίσης ευαίσθητα προσωπικά στοιχεία των ιδιοκτητών, όπως το όνομα, τον αριθμό τηλεφώνου, τη διεύθυνση email και τη φυσική τους διεύθυνση και θα μπορούσαν να έχουν επιτρέψει στους εισβολείς να προσθέσουν τον εαυτό τους ως δεύτερο χρήστη στα στοχευμένα οχήματα χωρίς να το γνωρίζουν οι ιδιοκτήτες.
Για να αποδείξει περαιτέρω το πρόβλημα, η ομάδα κατασκεύασε ένα εργαλείο που δείχνει πώς ένας εισβολέας μπορούσε να εισάγει την πινακίδα κυκλοφορίας ενός οχήματος και μέσα σε 30 δευτερόλεπτα, να κλειδώσει ή να ξεκλειδώσει από απόσταση το αυτοκίνητο, να το βάλει μπροστά ή να το σταματήσει, να κορνάρει ή να εντοπίσει το όχημα.
Δείτε ακόμα: Οι πωλήσεις της Kia στην Κίνα αυξάνονται χάρη στο EV5
Οι ερευνητές έφτιαξαν έναν λογαριασμό αντιπροσώπου στην πύλη εμπόρων kiaconnect.kdealer.com της Kia για να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες. Μετά τον έλεγχο ταυτότητας, δημιούργησαν ένα έγκυρο διακριτικό πρόσβασης που τους έδωσε πρόσβαση σε backend API αντιπροσώπων, παρέχοντάς τους κρίσιμες λεπτομέρειες για τον ιδιοκτήτη του οχήματος και πλήρη πρόσβαση στα τηλεχειριστήρια του αυτοκινήτου.
Ευπάθειες στην πύλη αντιπροσώπων της Kia επιτρέπει κλοπή αυτοκινήτων
Διαπίστωσαν ότι οι εισβολείς μπορούσαν να χρησιμοποιήσουν το API αντιπροσώπου υποστήριξης για να:
Δημιουργήσουν ένα διακριτικό αντιπροσώπου και να το ανακτήσουν από την απόκριση HTTP
Έχουν πρόσβαση στη διεύθυνση email και τον αριθμό τηλεφώνου του θύματος
Τροποποιήσουν τα δικαιώματα πρόσβασης του κατόχου χρησιμοποιώντας πληροφορίες που διέρρευσαν
Προσθέσουν ένα email ελεγχόμενο από τον εισβολέα στο όχημα του θύματος, επιτρέποντας απομακρυσμένες εντολές
Από εκεί, οι επιτιθέμενοι μπορούσαν να εισαγάγουν το VIN ενός οχήματος (αριθμός αναγνώρισης οχήματος) μέσω του API και να παρακολουθήσουν, να ξεκλειδώσουν, να ξεκινήσουν ή να κορνάρουν από απόσταση το αυτοκίνητο χωρίς να το γνωρίζει ο ιδιοκτήτης.
Δείτε επίσης: Volvo: Εγκαταλείπει το στόχο για πλήρως ηλεκτρικά αυτοκίνητα έως το 2030
Οι ευπάθειες της διαδικτυακής πύλης της Kia επέτρεψαν την αθόρυβη, μη εξουσιοδοτημένη πρόσβαση σε ένα αυτοκίνητο, καθώς όπως εξήγησε ο Curry, «από την πλευρά του θύματος, δεν υπήρχε καμία ειδοποίηση ότι το όχημά του παραβιάστηκε ούτε τροποποιήθηκαν οι άδειες πρόσβασής του».
To hacking αυτοκινήτvn, αναφέρεται στη χειραγώγηση ή εκμετάλλευση των ηλεκτρονικών συστημάτων ελέγχου ενός οχήματος. Με την αυξανόμενη ενσωμάτωση της τεχνολογίας και της συνδεσιμότητας στα σύγχρονα αυτοκίνητα, έχουν εμφανιστεί τρωτά σημεία, δημιουργώντας ευκαιρίες για μη εξουσιοδοτημένη πρόσβαση. Τέτοιες παραβιάσεις θα μπορούσαν να οδηγήσουν σε μη εξουσιοδοτημένο έλεγχο κρίσιμων λειτουργιών όπως το τιμόνι, το φρενάρισμα ή η λειτουργία του κινητήρα, θέτοντας σημαντικούς κινδύνους για την ασφάλεια. Η αυτοκινητοβιομηχανία εργάζεται ενεργά για να αντιμετωπίσει αυτές τις απειλές ενισχύοντας τα μέτρα κυβερνοασφάλειας και αναπτύσσοντας ισχυρά συστήματα για την προστασία των οχημάτων από τέτοιου είδους εκμεταλλεύσεις.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια