Уязвимость в веб-портале Kia позволяла хакерам контролировать автомобили

Уязвимость в веб-портале Kia позволяла хакерам контролировать автомобили

Группа независимых исследователей в области безопасности обнаружила уязвимость в веб-портале компании Kia, которая позволяла получить контроль над функциями, подключенными к интернету, большинства современных автомобилей Kia. Эта уязвимость давала возможность отслеживать местоположение автомобиля, разблокировать его, включать звуковой сигнал и запускать двигатель. После уведомления о проблеме в июне Kia, по-видимому, устранила уязвимость.

Исследователи подчеркивают, что проблема безопасности веб-порталов в автомобильной индустрии не ограничивается только Kia. За последние два года они обнаружили аналогичные уязвимости в системах автомобилей таких марок, как Acura, Genesis, Honda, Hyundai, Infiniti и Toyota. Эксперты отмечают, что веб-безопасность для транспортных средств находится на низком уровне, и подобные проблемы продолжают возникать.

Метод взлома, разработанный исследователями, не давал доступа к системам управления автомобилем, таким как руль или тормоза, а также не позволял обойти иммобилайзер. Однако он мог быть использован в сочетании с другими методами угона автомобилей или для кражи машин без иммобилайзера. Кроме того, уязвимость открывала возможности для кражи содержимого автомобиля, преследования водителей и пассажиров, а также создавала другие проблемы, связанные с безопасностью и конфиденциальностью.

Техника взлома, обнаруженная группой, использовала относительно простую ошибку в бэкенде веб-портала Kia для клиентов и дилеров. Исследователи обнаружили, что при отправке команд непосредственно к API веб-сайта не было никаких препятствий для получения привилегий дилера Kia, включая возможность назначать или переназначать управление функциями автомобилей любому созданному ими аккаунту клиента.

Группа исследователей начала изучать уязвимости веб-сайтов и API автопроизводителей в конце 2022 года. В январе 2023 года они опубликовали результаты своей работы, выявив множество уязвимостей веб-систем, затрагивающих Kia, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce и Ferrari. Для как минимум половины этих компаний обнаруженные ошибки предоставляли определенный уровень контроля над подключенными функциями автомобилей.

Эксперты отмечают, что большое количество уязвимостей в веб-сайтах автопроизводителей, позволяющих удаленно управлять транспортными средствами, является прямым результатом стремления компаний привлечь потребителей, особенно молодых, функциями, управляемыми со смартфонов. Однако это создает новые возможности для атак, о которых раньше не приходилось беспокоиться.

Исследователи надеются, что их работа поможет сместить фокус внимания автопроизводителей на веб-безопасность. Ранние эксперименты по взлому встроенных систем автомобилей убедили автопроизводителей в необходимости уделять больше внимания кибербезопасности встроенных систем. Теперь компаниям необходимо сосредоточиться и на веб-безопасности, даже если это потребует изменений в их процессах разработки и производства.

Подписывайтесь на Sciencexxi.com в Telegram
Science XXI