Хакер нашел способ взломать любую KIA и получить данные владельца — снова
Через два года после Kia Challenge, когда хакеры нашли способ украсть практически любые KIA и Hyundai, выпущенные после 2011 года, корейцы снова в центре внимания. Недавно обнаруженная уязвимость позволяет разблокировать и завести любую Kia только с номерным знаком.
Недавно один из хакеров обнаружил серьезную уязвимость в дилерской системе Kia, которая позволяет злоумышленникам получить контроль над любой машиной, используя только номерной знак. Авто можно полностью разблокировать без доступа к брелоку или даже автомобиля.
Сэм Карри, исследователь безопасности и «белый» хакер, сделал это открытие вместе с одним из своих друзей во время исследования Kia Connect — программы, которая дистанционно управляет многими функциями автомобиля. Владельцы используют эту программу ежедневно, чтобы заблокировать, отключить или завести свои автомобили или просто проверить их состояние и подготовить авто к выезду.
Исследователь обнаружил, что связь программы KIA Connect с серверами Kia для отправки команд транспортным средствам является большой проблемой. Керри использовал метод, который дилеры Kia применяют для назначения новых автомобилей владельцам через платформу KIA KDealer. Уязвимость позволила ему выдать себя за дилерский центр Kia, который пытается зарегистрировать автомобиль клиента.
Чтобы получить контроль, Карри нужен был его VIN-код, но он легко доступен, «если вы знаете, где искать». Чтобы получить удаленный доступ к скомпрометированному автомобилю, он разработал инструмент, который использует сторонний API для сопоставления номерного знака жертвы вместе с ее фактическим VIN.
Разработанное средство работало с каждой моделью KIA, выпущенной за последнее десятилетие. Хакер за считанные секунды получает не только доступ к автомобилю, но и к личным данным. В них входят имя, номер телефона, адрес электронной почты и местонахождение автомобиля. Злоумышленник также может добавить себя как второго невидимого пользователя транспортного средства жертвы без ее ведома. На некоторых моделях инструмент даже позволяет удаленно получать доступ к камерам автомобиля.
Два года назад было обнаружено, как легко завести двигатель большинства моделей Kia и Hyundai. Это стало возможным из-за отсутствия электронного иммобилайзера во многих авто, изготовленных в США с 2011 по 2021 год. Открытие создало огромные проблемы для владельцев Hyundai и Kia, и до сих пор остается черным пятном на репутации корейских автопроизводителей.
Более того, подростки все еще взламывают автомобили Hyundai и KIA, хотя без ключа ехать невозможно. Страховать Hyundai или KIA также сложно, поскольку некоторые компании отказываются покрывать риск угона в этом случае. Также KIA и Hyundai были среди брендов, недавно добавленных в печально известную базу эмулятора ключей «Game Boy», что облегчило кражу.
К счастью, KIA узнала о новой уязвимости до того, как она стала проблемой. Корейский автопроизводитель успешно ее исправил, но очередная удачная попытка взлома порождает принципиальные сомнения в безопасности этих авто.
Берегите электромобиль! Хакеры взламывают станции зарядки и изменяют прошивку авто с помощью технологии 1920-х годов
Источник: Autoevolution
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
