Um grupo de pesquisadores de segurança descobriu falhas críticas no portal dos concessionários da Kia, que poderiam permitir a hackers localizar e roubar milhões de carros da Kia fabricados após 2013, usando apenas a placa do veículo alvo.
Quase dois anos atrás, em 2022, alguns dos hackers deste grupo, incluindo o pesquisador de segurança e caçador de recompensas por bugs Sam Curry, encontraram outras vulnerabilidades críticas afetando mais de uma dúzia de montadoras de carros que permitiriam a criminosos localizar remotamente, desativar arranques, destravar e iniciar mais de 15 milhões de veículos feitos por Ferrari, BMW, Rolls Royce, Porsche e outras montadoras.
Curry revelou que as vulnerabilidades no portal web da Kia, descobertas em 11 de junho de 2024, poderiam ser exploradas para controlar qualquer veículo Kia equipado com hardware remoto em menos de 30 segundos, "independentemente de ter uma assinatura ativa do Kia Connect".
As falhas também expuseram informações pessoais sensíveis dos proprietários dos carros, incluindo seu nome, número de telefone, endereço de email e endereço físico, e poderiam ter permitido aos atacantes se adicionar como um segundo usuário nos veículos alvo sem o conhecimento dos proprietários.
Para demonstrar ainda mais o problema, a equipe construiu uma ferramenta mostrando como um atacante poderia inserir a placa de um veículo e, em 30 segundos, trancar ou destrancar o carro remotamente, iniciar ou parar o motor, tocar a buzina ou localizar o veículo.
Os pesquisadores registraram uma conta de concessionária no portal kiaconnect.kdealer.com da Kia para obter acesso a essas informações.
Uma vez autenticados, eles geraram um token de acesso válido que lhes deu acesso às APIs de concessionária de backend, oferecendo-lhes detalhes críticos sobre o proprietário do veículo e acesso total aos controles remotos do carro.
Eles descobriram que os atacantes poderiam usar a API de concessionária de backend para:
-Gerar um token de concessionária e recuperá-lo da resposta HTTP
-Acessar o endereço de email e número de telefone da vítima
-Modificar as permissões de acesso do proprietário usando informações vazadas
-Adicionar um email controlado pelo atacante ao veículo da vítima, permitindo comandos remotos
"A resposta HTTP continha o nome, número de telefone e endereço de email do proprietário do veículo.
Conseguimos nos autenticar no portal da concessionária usando nossas credenciais normais de aplicativo e o cabeçalho de canal modificado," disse Curry.
A partir daí, atacantes poderiam inserir o VIN (número de identificação do veículo) através da API e rastrear, destravar, iniciar ou tocar a buzina do carro remotamente sem o conhecimento do proprietário.
As falhas no portal web da Kia permitiram acesso silencioso e não autorizado a um veículo, uma vez que, como Curry explicou, "do lado da vítima, não havia notificação de que seu veículo havia sido acessado nem suas permissões de acesso modificadas."
"Essas vulnerabilidades foram corrigidas desde então, esta ferramenta nunca foi lançada, e a equipe da Kia validou que isso nunca foi explorado maliciosamente," Curry acrescentou.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...