Американский этичный хакер Сэм Карри (Sam Curry) обнаружил опасную уязвимость в южнокорейских автомобилях Kia, благодаря которой можно за короткое время разблокировать машину. Для этого требуется только знать госномер транспортного средства. Эксперт описал проблему в своем блоге.
В июне 2024 года Сэм написал специальную программу для смартфона, которая использовала дилерскую инфраструктуру Kia (kiaconnect.kdealer[.]com), используемую для активации транспортных средств. В этом приложении можно зарегистрировать поддельную учетную запись через HTTP-запрос, а затем сгенерировать токены доступа. Хакеру достаточно ввести госномер автомобиля, в среднем процедура взлома занимает 30 секунд, вот как она выглядит:
Помимо взлома авто, уязвимость позволяет узнать практически все о настоящем владельце машины: ФИО, номер телефона, адрес электронной почты и фактический адрес проживания. Проблема затрагивает все модели Kia, выпущенные после 2013 года.
Жертва не получит никакого уведомления о том, что доступ к их транспортному средству был получен, или их разрешения доступа были изменены. Злоумышленник может указать номерной знак, ввести свой VIN через API, затем пассивно отслеживать его и отправлять активные команды, такие как разблокировка или запуск ТС.
Эксперт сравнил современные умные автомобили с соцсетями. И те, и те всегда будут иметь уязвимости. Благо, и разработчики, и дилеры могут удаленно вносить изменения кода в ПО для устранения ошибок.
Ранее мы писали, что российские электромобили «Атом» смогут распознавать лица водителей при помощи ИИ.
