Pesquisadores de segurança divulgaram um conjunto de vulnerabilidades, agora corrigidas, que permitiam o controle remoto de funções chave dos veículos Kia apenas utilizando as placas do veículo.
"Esses ataques poderiam ser executados remotamente em qualquer veículo equipado com hardware adequado em cerca de 30 segundos, independentemente de ter ou não uma assinatura ativa do Kia Connect", explicaram os pesquisadores Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll.
Os problemas afetavam quase todos os veículos fabricados após 2013, permitindo que atacantes acessassem informações sensíveis, como nome, número de telefone, e-mail e endereço físico das vítimas.
Essas falhas permitiam que os criminosos se adicionassem como "usuários invisíveis" dos carros, sem o conhecimento dos proprietários.
A pesquisa revela que os problemas exploravam a infraestrutura dos concessionários Kia ("kiaconnect.kdealer[.]com") usada para ativar os veículos. Os hackers podiam registrar uma conta falsa via requisição HTTP e gerar tokens de acesso.
Esses tokens, em conjunto com outra requisição HTTP para o endpoint APIGW de um concessionário e o número de identificação do veículo (VIN), permitiam aos atacantes obter os dados pessoais dos proprietários, como nome, e-mail e número de telefone.
Os pesquisadores descobriram que era possível acessar o veículo da vítima com apenas quatro requisições HTTP, possibilitando o envio de comandos remotos ao carro. O processo incluía:
Gerar o token do concessionário e recuperar o cabeçalho "token" da resposta HTTP.
Obter o e-mail e telefone da vítima.
Modificar o acesso do proprietário usando o e-mail vazado e o VIN para adicionar o atacante como titular da conta.
Adicionar o e-mail do atacante como proprietário principal do veículo, permitindo o envio de comandos arbitrários.
Segundo os pesquisadores, "do lado da vítima, não havia notificação de que o veículo havia sido acessado ou que as permissões de acesso tinham sido modificadas."
Um cenário de ataque hipotético poderia envolver o criminoso inserindo a placa do veículo Kia em um painel personalizado, recuperando as informações da vítima e executando comandos no carro em cerca de 30 segundos.
Após uma divulgação responsável em junho de 2024, as falhas foram corrigidas pela Kia em 14 de agosto de 2024. Não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques reais.
"Carros continuarão a ter vulnerabilidades, assim como o Meta pode introduzir uma mudança de código que permita alguém invadir sua conta no Facebook, os fabricantes de automóveis podem fazer o mesmo com seu veículo", afirmaram os pesquisadores.
Via - THN
Comments