Уязвимость в системе безопасности Kia позволяет хакерам захватывать контроль над автомобилями, используя номера автомобильных знаков

В ходе недавнего расследования была обнаружена уязвимость в системах подключения к интернету компании Kia, что ставит под угрозу миллионы автомобилей, которые могут быть взломаны.

Независимые исследователи безопасности обнаружили, что, имея номерной знак автомобиля Kia, можно взломать машину и получить несанкционированный доступ к ключевым функциям, таким как открытие дверей, отслеживание местоположения и даже запуск двигателя — всего за несколько секунд.

Исследователи, которые ранее выявляли подобные уязвимости у различных автопроизводителей, сообщили о данной проблеме Kia в июне. Несмотря на то, что компания приняла меры для ее устранения, проблема, по-видимому, не была полностью решена.

«Чем больше мы изучали эту проблему, тем более очевидным становилось, что веб-безопасность автомобилей очень плоха», — сказал Нейко Ривера, один из ученых, участвовавших в открытии этой проблемы, как сообщалось в WIRED.

В ходе своего исследования ученые обнаружили уязвимость в веб-портале, который управляет Kia. Этот недостаток позволил им взять под контроль интернет-связанные функции большинства современных автомобилей Kia.

Под влиянием этой уязвимости оказались миллионы автомобилей на дорогах. Используя эту уязвимость, исследователи могли перевести контроль со смартфона владельца автомобиля на свои собственные устройства.

Согласно Сэму Карри, еще одному члену исследовательской группы, этот недостаток мог бы позволить хакеру отслеживать движения человека.

«Если бы кто-то вас подрезал в дорожном движении, вы могли бы просканировать их номерной знак, а затем знать, где они находятся, когда вы захотите, и вломиться в их машину», — рассказал Карри изданию WIRED.

«Если бы мы не обратили на это внимание Киа, любой, кто мог бы проверить чей-либо номерной знак, по сути, мог бы преследовать этого человека».

Исследователи проверили свой метод на различных автомобилях Kia, включая прокатные авто и автомобили на автосалонах, подтвердив его эффективность в целом.

Чтобы продемонстрировать, насколько легко можно использовать эти уязвимости, исследователи создали панель управления, простую и понятную для пользователя.

Этот инструмент позволял пользователям вводить номер автомобильного номера и получать личную информацию владельца, демонстрируя, как злоумышленник может захватить автомобиль и взять его под контроль.

Панель управления включала форму, которая преобразовывала номер автомобильного номера в идентификационный номер автомобиля (VIN). Кнопка «Захват» выполняла ряд действий для получения доступа к автомобилю.

Кроме того, другая кнопка показывала личную информацию владельца. Наконец, вкладка «Гараж» позволяла злоумышленнику выполнять команды на скомпрометированных автомобилях.

WIRED подчеркивает, что многочисленные уязвимости на сайтах автопроизводителей, которые позволяют удаленное управление автомобилями, происходят из-за стремления привлекать потребителей с помощью функций, доступных на смартфонах.

Стефан Савадж, профессор компьютерных наук из Университета Калифорнии в Сан-Диего, подчеркивает, что интеграция этих функций увеличивает риски безопасности, как отмечает WIRED.