Pesquisadores de segurança cibernética revelaram um conjunto de vulnerabilidades agora corrigidas em veículos Kia que, se exploradas com sucesso, poderiam ter permitido o controle remoto de funções importantes simplesmente usando apenas uma placa.
“Esses ataques podem ser executados remotamente em qualquer veículo equipado com {hardware} em cerca de 30 segundos, independentemente de ter uma assinatura ativa do Kia Join”, disseram os pesquisadores de segurança Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll.
Os problemas afetam quase todos os veículos fabricados após 2013, permitindo até mesmo que os invasores obtenham acesso secreto a informações confidenciais, incluindo o nome da vítima, número de telefone, endereço de e-mail e endereço físico.
Essencialmente, isso poderia ser abusado pelo adversário para se adicionar como um segundo usuário “invisível” no carro sem o conhecimento do proprietário.
O ponto essential da pesquisa é que os problemas exploram a infraestrutura da concessionária Kia (“kiaconnect.kdealer(.)com”) usada para ativações de veículos para registrar uma conta falsa por meio de uma solicitação HTTP e, em seguida, gerar tokens de acesso.
O token é posteriormente usado em conjunto com outra solicitação HTTP para um endpoint APIGW do revendedor e o número de identificação do veículo (VIN) de um carro para obter o nome, número de telefone e endereço de e-mail do proprietário do veículo.
Além do mais, os pesquisadores descobriram que é possível obter acesso ao veículo da vítima de maneira tão trivial quanto emitir quatro solicitações HTTP e, por fim, executar comandos da Web para o veículo.
- Gere o token do revendedor e recupere o cabeçalho “token” da resposta HTTP usando o método mencionado acima
- Obtenha o endereço de e-mail e número de telefone da vítima
- Modifique o acesso anterior do proprietário usando o endereço de e-mail vazado e o número VIN para adicionar o invasor como o titular principal da conta
- Adicione o invasor ao veículo da vítima adicionando um endereço de e-mail sob seu controle como proprietário principal do veículo, permitindo assim a execução de comandos arbitrários
“Por parte da vítima, não houve notificação de que seu veículo havia sido acessado nem suas permissões de acesso modificadas”, apontaram os pesquisadores.
“Um invasor pode resolver a placa de alguém, inserir seu VIN por meio da API, rastreá-lo passivamente e enviar comandos ativos como desbloquear, iniciar ou buzinar.”
Em um cenário hipotético de ataque, um malfeitor poderia inserir a placa de um veículo Kia em um painel personalizado, recuperar as informações da vítima e, em seguida, executar comandos no veículo após cerca de 30 segundos.
Após a divulgação responsável em junho de 2024, as falhas foram corrigidas pela Kia a partir de 14 de agosto de 2024. Não há evidências de que essas vulnerabilidades tenham sido exploradas em estado selvagem.
“Os carros continuarão a ter vulnerabilidades, porque da mesma forma que o Meta poderia introduzir uma mudança de código que permitiria a alguém assumir o controle da sua conta do Fb, os fabricantes de automóveis poderiam fazer o mesmo com o seu veículo”, disseram os pesquisadores.
