I ricercatori di sicurezza hanno scoperto vulnerabilità critiche nel portale dei concessionari Kia che consentono agli aggressori di rubare silenziosamente le auto parcheggiate di questo marchio. I problemi identificati consentono di hackerare qualsiasi modello Kia rilasciato dopo il 2013 utilizzando solo la targa dell’auto.
Per la prima volta nel 2022, i ricercatori sulla sicurezza, tra cui il “cacciatore di vulnerabilità” Sam Curry, hanno identificato bug di sicurezza critici in più di una dozzina di marchi automobilistici. Allora, le vulnerabilità consentivano agli aggressori di rilevare, bloccare, avviare o sbloccare da remoto oltre 15 milioni di automobili di marchi premium come Ferrari, BMW, Rolls Royce e Porsche.
Questa volta , Curry ha riferito che i difetti scoperti l’11 giugno 2024 nel portale Kia Connect consentivano l’accesso al controllo di qualsiasi veicolo Kia con apparecchiatura remota, anche senza avere un abbonamento Kia Connect attivato.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, le vulnerabilità hanno esposto informazioni personali dei proprietari dei veicoli, inclusi nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici. Gli aggressori potrebbero anche aggiungersi al sistema come secondo utente all’insaputa del proprietario.
Per dimostrare il problema, un team di ricercatori ha creato uno strumento che permetteva di utilizzare solo una targa per aggiungere auto al proprio “garage virtuale” e quindi bloccare, sbloccare, avviare o spegnere da remoto il motore, suonare il clacson o localizzare l’auto su una mappa.
Dopo aver effettuato l’accesso al portale del rivenditore Kia (kiaconnect.kdealer.com), hanno registrato un account rivenditore e generato un token di accesso valido. Questo token forniva l’accesso alle API backend dei concessionari, fornendo informazioni critiche sui proprietari dei veicoli e il pieno controllo sulle funzioni remote del veicolo.
Gli aggressori potrebbero utilizzare questa API per ottenere le seguenti funzionalità:
“La risposta HTTP conteneva il nome, il numero di telefono e l’indirizzo e-mail del proprietario dell’auto. Siamo stati in grado di accedere al portale del rivenditore utilizzando le nostre normali credenziali dell’app e un’intestazione del canale modificata”, ha spiegato Curry.
Utilizzando il VIN (numero di identificazione del veicolo), gli aggressori potrebbero utilizzare un’API per tracciare, sbloccare, avviare o persino suonare il clacson di un veicolo all’insaputa del proprietario.
A causa delle lacune scoperte, l’accesso non autorizzato all’auto potrebbe essere avvenuto di nascosto, poiché il proprietario non ha ricevuto alcuna notifica dell’hacking o della modifica dei diritti di accesso.
Tuttavia, tutte le vulnerabilità sono già state risolte. Secondo Curry, lo strumento che dimostra l’hacking non è mai stato pubblicato e il team Kia ha confermato che le vulnerabilità non sono state utilizzate per scopi dannosi.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
