Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 27 Settembre 2024 11:35
I ricercatori di sicurezza hanno scoperto vulnerabilità critiche nel portale dei concessionari Kia che consentono agli aggressori di rubare silenziosamente le auto parcheggiate di questo marchio. I problemi identificati consentono di hackerare qualsiasi modello Kia rilasciato dopo il 2013 utilizzando solo la targa dell’auto.
Per la prima volta nel 2022, i ricercatori sulla sicurezza, tra cui il “cacciatore di vulnerabilità” Sam Curry, hanno identificato bug di sicurezza critici in più di una dozzina di marchi automobilistici. Allora, le vulnerabilità consentivano agli aggressori di rilevare, bloccare, avviare o sbloccare da remoto oltre 15 milioni di automobili di marchi premium come Ferrari, BMW, Rolls Royce e Porsche.
Questa volta , Curry ha riferito che i difetti scoperti l’11 giugno 2024 nel portale Kia Connect consentivano l’accesso al controllo di qualsiasi veicolo Kia con apparecchiatura remota, anche senza avere un abbonamento Kia Connect attivato.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Inoltre, le vulnerabilità hanno esposto informazioni personali dei proprietari dei veicoli, inclusi nomi, numeri di telefono, indirizzi e-mail e indirizzi fisici. Gli aggressori potrebbero anche aggiungersi al sistema come secondo utente all’insaputa del proprietario.
Per dimostrare il problema, un team di ricercatori ha creato uno strumento che permetteva di utilizzare solo una targa per aggiungere auto al proprio “garage virtuale” e quindi bloccare, sbloccare, avviare o spegnere da remoto il motore, suonare il clacson o localizzare l’auto su una mappa.
Dopo aver effettuato l’accesso al portale del rivenditore Kia (kiaconnect.kdealer.com), hanno registrato un account rivenditore e generato un token di accesso valido. Questo token forniva l’accesso alle API backend dei concessionari, fornendo informazioni critiche sui proprietari dei veicoli e il pieno controllo sulle funzioni remote del veicolo.
Gli aggressori potrebbero utilizzare questa API per ottenere le seguenti funzionalità:
“La risposta HTTP conteneva il nome, il numero di telefono e l’indirizzo e-mail del proprietario dell’auto. Siamo stati in grado di accedere al portale del rivenditore utilizzando le nostre normali credenziali dell’app e un’intestazione del canale modificata”, ha spiegato Curry.
Utilizzando il VIN (numero di identificazione del veicolo), gli aggressori potrebbero utilizzare un’API per tracciare, sbloccare, avviare o persino suonare il clacson di un veicolo all’insaputa del proprietario.
A causa delle lacune scoperte, l’accesso non autorizzato all’auto potrebbe essere avvenuto di nascosto, poiché il proprietario non ha ricevuto alcuna notifica dell’hacking o della modifica dei diritti di accesso.
Tuttavia, tutte le vulnerabilità sono già state risolte. Secondo Curry, lo strumento che dimostra l’hacking non è mai stato pubblicato e il team Kia ha confermato che le vulnerabilità non sono state utilizzate per scopi dannosi.
RedazioneIl mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
L’azienda giapponese Science ha lanciato una lavatrice per esseri umani. La capsula lunga 2,30 metri lava una persona in 15 minuti e ha suscitato notevole interesse all’Expo di Osaka concluso rece...
Airbus ha annunciato il richiamo di circa 6.500 aeromobili A320 a causa di potenziali guasti al sistema di controllo ELAC causati da potenti brillamenti solari. Il richiamo è avvenuto in seguito a un...
Questo articolo analizza la disclosure presentata a Microsoft e consultabile in inglese su digitaldefense, dove sono disponibili immagini, video dimostrativi e un esempio di codice Python. Negli ultim...
L’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
