اكتشفت مجموعة من الباحثين الأمنيين عيوبًا خطيرة في بوابة وكلاء كيا والتي يمكن أن تسمح للمتسللين بتحديد موقع وسرقة الملايين من سيارات كيا المصنعة بعد عام 2013 باستخدام لوحة ترخيص السيارة المستهدفة فقط.
منذ ما يقرب من عامين، في عام 2022، اكتشف بعض المتسللين في هذه المجموعة، بما في ذلك الباحث الأمني وصائد مكافآت الأخطاء سام كاري، ثغرات خطيرة أخرى”https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/” الهدف=”_blank”>التأثير على أكثر من اثنتي عشرة شركة سياراتكان ذلك من شأنه أن يسمح للمجرمين بتحديد موقع أكثر من 15 مليون سيارة وتعطيلها وفتحها وتشغيلها عن بُعد، من صنع شركات فيراري وبي إم دبليو ورولز رويس وبورش وغيرها من شركات صناعة السيارات.
اليوم،”https://samcurry.net/hacking-kia” الهدف=”_blank” rel=”nofollow noopener”> كشف الكاري أن الثغرات الأمنية في بوابة الويب لشركة Kia التي تم اكتشافها في 11 يونيو 2024، يمكن استغلالها للتحكم في أي سيارة Kia مجهزة بأجهزة عن بعد في أقل من 30 ثانية، “regardless of whether it had an active Kia Connect subscription.”
كشفت العيوب أيضًا عن المعلومات الشخصية الحساسة لأصحاب السيارات، بما في ذلك الاسم ورقم الهاتف وعنوان البريد الإلكتروني والعنوان الفعلي، وكان من الممكن أن تمكن المهاجمين من إضافة أنفسهم كمستخدم ثانٍ على المركبات المستهدفة دون علم المالكين.
ولتوضيح المشكلة بشكل أكبر، أنشأ الفريق أداة توضح كيف يمكن للمهاجم الدخول إلى لوحة ترخيص السيارة، وفي غضون 30 ثانية، قفل السيارة أو فتحها عن بعد، أو تشغيلها أو إيقافها، أو إطلاق البوق، أو تحديد موقع السيارة.
قام الباحثون بتسجيل حساب وكيل على بوابة وكلاء كيا kiaconnect.kdealer.com للوصول إلى هذه المعلومات.
بمجرد المصادقة، قاموا بإنشاء رمز وصول صالح يمنحهم الوصول إلى واجهات برمجة تطبيقات الوكيل الخلفي، مما يمنحهم تفاصيل مهمة حول مالك السيارة والوصول الكامل إلى أجهزة التحكم عن بعد في السيارة.
ووجدوا أن المهاجمين يمكنهم استخدام واجهة برمجة تطبيقات الموزع الخلفي من أجل:
- قم بإنشاء رمز مميز للتاجر واسترده من استجابة HTTP
- الوصول إلى عنوان البريد الإلكتروني ورقم الهاتف للضحية
- تعديل أذونات الوصول للمالك باستخدام المعلومات المسربة
- أضف بريدًا إلكترونيًا يتحكم فيه المهاجم إلى سيارة الضحية، مما يسمح بأوامر عن بعد
“The HTTP response contained the vehicle owner’s name, phone number, and email address. We were able to authenticate into the dealer portal using our normal app credentials and the modified channel header,” قال كاري.
من هناك، يمكن للمهاجمين إدخال رقم تعريف السيارة (VIN) الخاص بالمركبة من خلال واجهة برمجة التطبيقات (API) وتتبع السيارة أو فتحها أو تشغيلها أو تشغيلها عن بعد دون علم المالك.
سمحت عيوب البوابة الإلكترونية لشركة Kia بالوصول الصامت وغير المصرح به إلى السيارة، كما أوضح كاري، “from the victim’s side, there was no notification that their vehicle had been accessed nor their access permissions modified.”
“These vulnerabilities have since been fixed, this tool was never released, and the Kia team has validated this was never exploited maliciously,” وأضاف الكاري.