Pesquisadores de segurança cibernética descobriram um conjunto de vulnerabilidades irregulares em veículos Kia que, se exploradas com sucesso, teriam permitido o controle remoto de funções importantes usando apenas a placa do veículo.
“Este ataque pode ser realizado remotamente em qualquer veículo equipado com hardware em menos de 30 segundos, independentemente de ter assinantes Kia Connect”, disseram os pesquisadores de segurança Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll.
Os problemas afetam quase todos os carros fabricados depois de 2013, permitindo até que os invasores obtenham acesso a informações confidenciais, incluindo o nome da vítima, número de telefone, endereço de e-mail e endereço físico.
Na verdade, isso pode ser mal utilizado por um inimigo para se adicionar como um segundo usuário “invisível” ao veículo sem o conhecimento do proprietário.
O cerne da pesquisa é que os problemas exploram a infraestrutura da concessionária Kia (“kiaconnect.kdealer[.]com”) usado para ativação de veículos para registrar uma conta falsa com uma solicitação HTTP e gerar tokens de acesso.
O token é então usado em conjunto com outra solicitação HTTP para o endpoint APIGW do vendedor e o número de identificação do veículo (VIN) do veículo para recuperar o nome, número de telefone e endereço de e-mail do proprietário do veículo.
Além disso, os pesquisadores descobriram que é possível acessar o carro da vítima emitindo quatro solicitações HTTP e, finalmente, executar comandos de Internet para o carro –
- Gere um token de comerciante e retorne o cabeçalho “token” na resposta HTTP usando o método mencionado acima.
- Baixe o endereço de e-mail e número de telefone da vítima
- Modifique o acesso do proprietário anterior usando endereço de e-mail vazado e número VIN para adicionar o invasor como gerente de conta principal
- Adicione o invasor ao veículo da vítima adicionando um endereço de e-mail sob seu controle como proprietário principal do veículo, permitindo assim a execução de comandos arbitrários.
“Por parte da vítima, não há notificação de que seu carro tenha sido invadido ou de que as autorizações de entrada tenham sido alteradas”, afirmaram os pesquisadores.
“Um invasor pode resolver o número da placa de alguém, inserir seu VIN por meio da API e, em seguida, rastrear e enviar silenciosamente comandos ativos, como desbloquear, iniciar ou bater.”
No caso de um ataque hipotético, um malfeitor pode inserir o número da placa de um carro Kia em um painel personalizado, extrair as informações da vítima e emitir comandos para o carro 30 segundos depois.
Após uma divulgação responsável em junho de 2024, as falhas foram corrigidas pela Kia a partir de 14 de agosto de 2024. Não há evidências de que esta vulnerabilidade tenha sido explorada em estado selvagem.
“Os carros continuarão vulneráveis porque, da mesma forma que o Meta poderia introduzir uma mudança de código que permitiria a alguém assumir o controle da sua conta do Facebook, os fabricantes de automóveis podem fazer o mesmo com o seu carro”, disseram os pesquisadores.
