Falha grave da Kia permite hackers invadir veículos
27 de Setembro de 2024

Um grupo de pesquisadores de segurança descobriu falhas críticas no portal dos concessionários da Kia, que poderiam permitir a hackers localizar e roubar milhões de carros da Kia fabricados após 2013, usando apenas a placa do veículo alvo.

Quase dois anos atrás, em 2022, alguns dos hackers deste grupo, incluindo o pesquisador de segurança e caçador de recompensas por bugs Sam Curry, encontraram outras vulnerabilidades críticas afetando mais de uma dúzia de montadoras de carros que permitiriam a criminosos localizar remotamente, desativar arranques, destravar e iniciar mais de 15 milhões de veículos feitos por Ferrari, BMW, Rolls Royce, Porsche e outras montadoras.

Curry revelou que as vulnerabilidades no portal web da Kia, descobertas em 11 de junho de 2024, poderiam ser exploradas para controlar qualquer veículo Kia equipado com hardware remoto em menos de 30 segundos, "independentemente de ter uma assinatura ativa do Kia Connect".

As falhas também expuseram informações pessoais sensíveis dos proprietários dos carros, incluindo seu nome, número de telefone, endereço de email e endereço físico, e poderiam ter permitido aos atacantes se adicionar como um segundo usuário nos veículos alvo sem o conhecimento dos proprietários.

Para demonstrar ainda mais o problema, a equipe construiu uma ferramenta mostrando como um atacante poderia inserir a placa de um veículo e, em 30 segundos, trancar ou destrancar o carro remotamente, iniciar ou parar o motor, tocar a buzina ou localizar o veículo.

Os pesquisadores registraram uma conta de concessionária no portal kiaconnect.kdealer.com da Kia para obter acesso a essas informações.

Uma vez autenticados, eles geraram um token de acesso válido que lhes deu acesso às APIs de concessionária de backend, oferecendo-lhes detalhes críticos sobre o proprietário do veículo e acesso total aos controles remotos do carro.

Eles descobriram que os atacantes poderiam usar a API de concessionária de backend para:

-Gerar um token de concessionária e recuperá-lo da resposta HTTP
-Acessar o endereço de email e número de telefone da vítima
-Modificar as permissões de acesso do proprietário usando informações vazadas
-Adicionar um email controlado pelo atacante ao veículo da vítima, permitindo comandos remotos

"A resposta HTTP continha o nome, número de telefone e endereço de email do proprietário do veículo.
Conseguimos nos autenticar no portal da concessionária usando nossas credenciais normais de aplicativo e o cabeçalho de canal modificado," disse Curry.

A partir daí, atacantes poderiam inserir o VIN (número de identificação do veículo) através da API e rastrear, destravar, iniciar ou tocar a buzina do carro remotamente sem o conhecimento do proprietário.

As falhas no portal web da Kia permitiram acesso silencioso e não autorizado a um veículo, uma vez que, como Curry explicou, "do lado da vítima, não havia notificação de que seu veículo havia sido acessado nem suas permissões de acesso modificadas."

"Essas vulnerabilidades foram corrigidas desde então, esta ferramenta nunca foi lançada, e a equipe da Kia validou que isso nunca foi explorado maliciosamente," Curry acrescentou.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...