Търсене
Close this search box.

Купувачите на автомобили обикновено имат много въпроси при покупката на нов автомобил, но малцина от тях вероятно се замислят дали нападател може да контролира дистанционно автомобила им, като използва само информация за регистрационния номер.

И все пак точно това позволяваха милиони автомобили Kia до средата на август, когато автомобилният производител отстрани недостатък, който позволяваше такъв достъп, след като независими изследователи по сигурността ги предупредиха за проблема.

Дистанционно управление на автомобили и SUV на Kia

Грешката е подобна на тези, които същата група изследователи и други са открили през последните години, и със сигурност ще разпали и без това високата загриженост относно уязвимостта на съвременните свързани автомобили към кибератаки.

В доклад от 26 септември независимият изследовател Сам Къри заяви, че е открил уязвимостта на Kia, когато е правил последващи изследвания на множество недостатъци, открити от него и колегите му преди няколко години в автомобили на Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes и други.

По онова време изследователите показаха как всеки може да се възползва от уязвимостите, за да издава команди за дистанционно заключване и отключване на автомобили, стартиране и изключване на двигателя и активиране на фаровете и клаксона на автомобила. Някои от пропуските позволяват на противника да превземе дистанционно акаунта на собственика и да го блокира от управлението на собствения му автомобил, докато други позволяват дистанционен достъп до камерата на автомобила с възможност за гледане на изображения на живо от купето на автомобила. Някои от хаковете изискват от противника да разполага само с идентификационния номер на автомобила, а понякога дори само с имейл адреса на собственика.

Проблем с автомобилните API протоколи

Както и при много от предишните недостатъци, новият проблем, който Къри и колегите му изследователи откриха, е свързан с протоколите на интерфейса за програмиране на приложения (API), които позволяват изпълнението на команди от интернет към автомобила в автомобилите Kia.

Изследователите са установили, че е сравнително лесно да се регистрира акаунт на дилър на Kia и да се удостовери автентичността му. След това те могат да използват генерирания токен за достъп, за да извикват API, запазени за използване от дилърите, за неща като търсене на автомобили и акаунти, записване на собственици и няколко други функции.

След известно ровене изследователите установиха, че могат да използват достъпа  до API на дилъра, за да въведат информация за регистрационния номер на автомобила и да извлекат данни, които по същество им позволяват да контролират ключови функции на автомобила. Те включват функции като включване и изключване на запалването, дистанционно заключване и отключване на автомобила, активиране на фаровете и клаксона и определяне на точното му географско местоположение.

Освен това те са успели да изтеглят личната идентификационна информация (PII) на собственика и спокойно да се регистрират като основен притежател на акаунта. Това означава, че са имали контрол над функциите, които обикновено са достъпни само за собственика. Проблемите засягат редица моделни години на КИА – от 2024 и 2025 г. до 2013 г. При по-старите автомобили изследователите са разработили инструмент за доказване на концепцията, който показва как всеки може да въведе информация за регистрационния номер на автомобил Kia и за 30 секунди да изпълнява дистанционни команди на него.

„Неотдавнашното откритие подчертава сложните предизвикателства, които поставят сложните API протоколи – като gRPC, MQTT и REST – използвани в свързаните автомобили“, казва Иван Новиков, главен изпълнителен директор на фирмата за сигурност на API Wallarm. „Производителите на автомобили трябва приоритетно да подобрят мерките си за киберсигурност, като въведат по-силни методи за удостоверяване и защитят комуникационните канали, за да се предпазят от неоторизиран достъп.“

Ахил Митал, старши мениджър на отдела за стратегии и решения за киберсигурност в Synopsys Software Integrity Group, казва, че новото откритие подчертава как най-големите уязвимости в свързаните автомобили често са в системите, които комуникират с външния свят. Той посочва винаги свързаните телематични системи на автомобилите като един пример за такъв компонент.

„Системите за развлечение и забавление са друг проблем, тъй като те се свързват със смартфони, приложения и други услуги, създавайки повече входни точки за хакерите във вътрешната мрежа на автомобила“, казва Митал. „Неотдавнашният хак на Kia наистина подчертава как API и облачните услуги могат да бъдат слаби места; ако API, които контролират критични функции, не са защитени правилно, те се превръщат в лесни цели за нападателите.“

Тревожен модел на киберсигурност на автомобилите

Новината за хакерската атака на Kia засилва нарастващите опасения относно свързаните автомобили – и то не само по отношение на тяхната сигурност. По-рано тази година двама високопоставени американски законодатели упрекнаха General Motors, Honda и Hyundai, че събират обширни данни от свързани автомобили за собствениците и тяхното движение. Двамата законодатели,  Рон Уайдън (окръг Оре) и Едуард Марки (окръг Маса) нарекоха събирането на данни от трите автомобилни производителя симптоматичен проблем за цялата индустрия, който подчертава необходимостта от по-голям надзор и контрол върху практиките на автомобилните производители.

„Производителите на автомобили отново и отново доказват безотговорност по отношение на сигурността и се чудя колко още ще видим, преди да бъдат предприети действия“, казва Дейвид Бръмли, главен изпълнителен директор на фирмата за софтуерна сигурност ForAllSecure. „Вчера средностатистическият шофьор се притесняваше за кражбата на ключодържателя си. Днес те трябва да се притесняват дали техният дилър или производител има незащитен API. Къде е [Националният съвет за безопасност на транспорта] по този въпрос?“

КИА Моторс не отговори на молбата на Dark Reading за коментар.

Източник: DARKReading

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
24/09/2024

САЩ предлагат забрана на св...

Днес администрацията на Байдън обяви нови...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!