Cybersecurity-onderzoekers hebben een aantal inmiddels gepatchte kwetsbaarheden in Kia-voertuigen ontdekt die, als ze succesvol worden uitgebuit, op afstand controle over belangrijke functies mogelijk zouden maken door alleen een kentekenplaat te gebruiken.
“Deze aanvallen konden op afstand worden uitgevoerd op elk voertuig met hardware in ongeveer 30 seconden, ongeacht of het voertuig een actief Kia Connect-abonnement had”, aldus beveiligingsonderzoekers Neiko Rivera, Sam Curry, Justin Rhinehart en Ian Carroll.
De problemen hebben betrekking op bijna alle voertuigen die na 2013 zijn gemaakt. Aanvallers kunnen zelfs heimelijk toegang krijgen tot gevoelige informatie, zoals de naam, het telefoonnummer, het e-mailadres en het fysieke adres van het slachtoffer.
In principe zou de tegenstander dit vervolgens kunnen misbruiken om zichzelf als ‘onzichtbare’ tweede gebruiker van de auto toe te voegen, zonder dat de eigenaar daarvan op de hoogte is.
De kern van het onderzoek is dat de problemen misbruik maken van de infrastructuur van de Kia-dealer (“kiaconnect.kdealer(.)com”) die wordt gebruikt voor voertuigactiveringen, om via een HTTP-verzoek een nepaccount te registreren en vervolgens toegangstokens te genereren.
Het token wordt vervolgens gebruikt in combinatie met een ander HTTP-verzoek aan een APIGW-eindpunt van een dealer en het voertuigidentificatienummer (VIN) van een auto om de naam, het telefoonnummer en het e-mailadres van de eigenaar van het voertuig te verkrijgen.
Bovendien ontdekten de onderzoekers dat het mogelijk is om toegang te krijgen tot het voertuig van een slachtoffer door simpelweg vier HTTP-verzoeken te versturen en uiteindelijk internet-naar-voertuig-opdrachten uit te voeren –
- Genereer het dealertoken en haal de “token”-header op uit het HTTP-antwoord met behulp van de eerder genoemde methode
- Haal het e-mailadres en telefoonnummer van het slachtoffer op
- Wijzig de vorige toegang van de eigenaar met behulp van het gelekte e-mailadres en VIN-nummer om de aanvaller toe te voegen als de primaire accounthouder
- Voeg een aanvaller toe aan het voertuig van het slachtoffer door een e-mailadres toe te voegen dat onder hun controle staat als de primaire eigenaar van het voertuig, waardoor willekeurige opdrachten kunnen worden uitgevoerd
“Vanuit de kant van het slachtoffer was er geen melding dat er toegang was verkregen tot hun voertuig of dat hun toegangsrechten waren gewijzigd”, benadrukken de onderzoekers.
“Een aanvaller kan het kenteken van iemand achterhalen, het VIN-nummer invoeren via de API, de persoon passief volgen en actieve opdrachten sturen, zoals ontgrendelen, starten of toeteren.”
In een hypothetisch aanvalsscenario zou een kwaadwillende persoon het kenteken van een Kia-voertuig in een aangepast dashboard kunnen invoeren, de gegevens van het slachtoffer kunnen ophalen en vervolgens na ongeveer 30 seconden opdrachten op het voertuig kunnen uitvoeren.
Na de verantwoordelijke openbaarmaking in juni 2024 werden de fouten door Kia aangepakt op 14 augustus 2024. Er is geen bewijs dat deze kwetsbaarheden ooit in het wild zijn uitgebuit.
“Auto’s zullen kwetsbaar blijven, want net zoals Meta een codewijziging kan doorvoeren waardoor iemand je Facebook-account kan overnemen, kunnen autofabrikanten hetzelfde doen voor jouw voertuig”, aldus de onderzoekers.
