Купувачите на автомобили обикновено имат много въпроси при покупката на нов автомобил, но малцина от тях вероятно се замислят дали нападател може да контролира дистанционно автомобила им, като използва само информация за регистрационния номер.

И все пак точно това позволяваха милиони автомобили Kia до средата на август, когато автомобилният производител отстрани недостатък, който позволяваше такъв достъп, след като независими изследователи по сигурността ги предупредиха за проблема.

Дистанционно управление на автомобили и SUV на Kia

Грешката е подобна на тези, които същата група изследователи и други са открили през последните години, и със сигурност ще разпали и без това високата загриженост относно уязвимостта на съвременните свързани автомобили към кибератаки.

В доклад от 26 септември независимият изследовател Сам Къри заяви, че е открил уязвимостта на Kia, когато е правил последващи изследвания на множество недостатъци, открити от него и колегите му преди няколко години в автомобили на Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes и други.

По онова време изследователите показаха как всеки може да се възползва от уязвимостите, за да издава команди за дистанционно заключване и отключване на автомобили, стартиране и изключване на двигателя и активиране на фаровете и клаксона на автомобила. Някои от пропуските позволяват на противника да превземе дистанционно акаунта на собственика и да го блокира от управлението на собствения му автомобил, докато други позволяват дистанционен достъп до камерата на автомобила с възможност за гледане на изображения на живо от купето на автомобила. Някои от хаковете изискват от противника да разполага само с идентификационния номер на автомобила, а понякога дори само с имейл адреса на собственика.

Проблем с автомобилните API протоколи

Както и при много от предишните недостатъци, новият проблем, който Къри и колегите му изследователи откриха, е свързан с протоколите на интерфейса за програмиране на приложения (API), които позволяват изпълнението на команди от интернет към автомобила в автомобилите Kia.

Изследователите са установили, че е сравнително лесно да се регистрира акаунт на дилър на Kia и да се удостовери автентичността му. След това те могат да използват генерирания токен за достъп, за да извикват API, запазени за използване от дилърите, за неща като търсене на автомобили и акаунти, записване на собственици и няколко други функции.

След известно ровене изследователите установиха, че могат да използват достъпа  до API на дилъра, за да въведат информация за регистрационния номер на автомобила и да извлекат данни, които по същество им позволяват да контролират ключови функции на автомобила. Те включват функции като включване и изключване на запалването, дистанционно заключване и отключване на автомобила, активиране на фаровете и клаксона и определяне на точното му географско местоположение.

Освен това те са успели да изтеглят личната идентификационна информация (PII) на собственика и спокойно да се регистрират като основен притежател на акаунта. Това означава, че са имали контрол над функциите, които обикновено са достъпни само за собственика. Проблемите засягат редица моделни години на КИА – от 2024 и 2025 г. до 2013 г. При по-старите автомобили изследователите са разработили инструмент за доказване на концепцията, който показва как всеки може да въведе информация за регистрационния номер на автомобил Kia и за 30 секунди да изпълнява дистанционни команди на него.

„Неотдавнашното откритие подчертава сложните предизвикателства, които поставят сложните API протоколи – като gRPC, MQTT и REST – използвани в свързаните автомобили“, казва Иван Новиков, главен изпълнителен директор на фирмата за сигурност на API Wallarm. „Производителите на автомобили трябва приоритетно да подобрят мерките си за киберсигурност, като въведат по-силни методи за удостоверяване и защитят комуникационните канали, за да се предпазят от неоторизиран достъп.“

Ахил Митал, старши мениджър на отдела за стратегии и решения за киберсигурност в Synopsys Software Integrity Group, казва, че новото откритие подчертава как най-големите уязвимости в свързаните автомобили често са в системите, които комуникират с външния свят. Той посочва винаги свързаните телематични системи на автомобилите като един пример за такъв компонент.

„Системите за развлечение и забавление са друг проблем, тъй като те се свързват със смартфони, приложения и други услуги, създавайки повече входни точки за хакерите във вътрешната мрежа на автомобила“, казва Митал. „Неотдавнашният хак на Kia наистина подчертава как API и облачните услуги могат да бъдат слаби места; ако API, които контролират критични функции, не са защитени правилно, те се превръщат в лесни цели за нападателите.“

Тревожен модел на киберсигурност на автомобилите

Новината за хакерската атака на Kia засилва нарастващите опасения относно свързаните автомобили – и то не само по отношение на тяхната сигурност. По-рано тази година двама високопоставени американски законодатели упрекнаха General Motors, Honda и Hyundai, че събират обширни данни от свързани автомобили за собствениците и тяхното движение. Двамата законодатели,  Рон Уайдън (окръг Оре) и Едуард Марки (окръг Маса) нарекоха събирането на данни от трите автомобилни производителя симптоматичен проблем за цялата индустрия, който подчертава необходимостта от по-голям надзор и контрол върху практиките на автомобилните производители.

„Производителите на автомобили отново и отново доказват безотговорност по отношение на сигурността и се чудя колко още ще видим, преди да бъдат предприети действия“, казва Дейвид Бръмли, главен изпълнителен директор на фирмата за софтуерна сигурност ForAllSecure. „Вчера средностатистическият шофьор се притесняваше за кражбата на ключодържателя си. Днес те трябва да се притесняват дали техният дилър или производител има незащитен API. Къде е [Националният съвет за безопасност на транспорта] по този въпрос?“

КИА Моторс не отговори на молбата на Dark Reading за коментар.