Исследователи раскрыли способ доступа к автомобилям KIA с помощью только данных с номерного знака

Исследователи раскрыли способ получения удалённого управления за 30 секунд ко многим моделям автомобилей KIA (2014-2025 годов выпуска) с помощью только данных с номерного знака и без активной подписки Kia Connect. В настоящее время эта уязвимость закрыта производителем.

Оказалось, что уязвимость в системе передачи данных KIA позволяла злоумышленнику незаметно получить личную информацию, включая имя водителя, номер телефона, адрес электронной почты и физический адрес. Проблема оказалась критична, так как появлялась возможность добавить любого человека в качестве невидимого второго пользователя на автомобиле жертвы без ведома владельца.

Исследователи создали инструмент для демонстрации уязвимостей под названием KIATool, с помощью которого можно было просто ввести номерной знак автомобиля Kia, а затем выполнять команды на автомобиле примерно через 30 секунд.

Уязвимости были обнаружены в работе веб-сайта owners.kia.com, приложения Kia Connect на iOS и сервиса com.myuvo.link и могли предоставить неавторизированный доступ к выполнению команд «из интернета в автомобиль».

Оказалось, что веб-сайт владельцев KIA и мобильное приложение служили одной и той же цели, но по-разному обрабатывали команды автомобиля. Веб-сайт KIA использовал обратный прокси-сервер для пересылки пользовательских команд на серверную службу api.owners.kia.com, которая фактически отвечала за выполнение команд на транспортном средстве, тогда как мобильное приложение вместо этого обращалось к этому API напрямую. В этом случае у исследователей появилась возможность отправлять свои HTTP-запросы на веб-сайт owners.kia.com, проксируя нужные данные через API на хост api.owners.kia.com, например, для разблокировки дверей машины.

Также оказалось, что сайт KIA позволял