Kia Sportage (fot. Katarzyna Pura | Tabletowo.pl)
Kia Sportage (fot. Katarzyna Pura | Tabletowo.pl)

Wystarczyła tablica rejestracyjna, żeby zhakować samochód Kia. Jak to możliwe?

Współczesne samochody coraz częściej zamieniają się w „komputery na kółkach”, przez co kwestie, związane z bezpieczeństwem, stają się priorytetowe. Okazuje się jednak, że nie wszystkie firmy radzą sobie z zabezpieczeniem swoich systemów. Na jaw wyszła poważna luka w systemie Kia, która umożliwiała hakerom zdalne przejęcie kontroli nad pojazdem, korzystając jedynie z jego tablicy rejestracyjnej. Jak do tego doszło?

Poważna luka bezpieczeństwa w systemie samochodowego giganta

Wszystko zaczęło się, gdy grupa niezależnych badaczy ds. bezpieczeństwa odkryła poważną lukę w systemie zarządzania samochodami Kia. Luka ta, występująca w portalu internetowym Kia, umożliwiała hakerom przejęcie kontroli nad funkcjami pojazdu za pomocą aplikacji mobilnej.

Wystarczyło zdobyć numer rejestracyjny samochodu, a następnie wykorzystać serwis internetowy PlateToVin.com do przekształcenia tablicy w numer VIN pojazdu. Następnie, za pomocą specjalnie stworzonej aplikacji, badacze mogli wysyłać komendy do API Kia, które pozwalały na kontrolowanie takich funkcji, jak lokalizacja samochodu, otwieranie drzwi, uruchamianie silnika, a nawet używanie klaksonu​.

Co ciekawe, badacze nie potrzebowali specjalistycznej wiedzy ani skomplikowanych narzędzi, aby skorzystać z tej luki. Problem tkwił w niedostatecznej weryfikacji tego, czy użytkownik portalu Kia jest rzeczywiście uprawniony do zarządzania pojazdem. W efekcie, hakerzy mogli przypisać kontrolę nad pojazdem do dowolnego konta utworzonego przez nich samych, bez jakiejkolwiek autoryzacji.

Chociaż badacze nie mogli przejąć kontroli nad systemami sterowania, takimi jak hamulce czy kierownica, to jednak mieli pełny dostęp do informacji o lokalizacji pojazdu i jego funkcjach. Jak zaznaczyli, luka ta mogła zostać wykorzystana do śledzenia właścicieli samochodów, kradzieży ich rzeczy osobistych, a nawet do groźniejszych działań. Co więcej, usterka dotyczyła milionów samochodów Kia na całym świecie​.

Kia naprawia błąd, ale problem jest szerszy

Po zgłoszeniu problemu w czerwcu 2024 roku, Kia szybko zareagowała i naprawiła lukę w swoim systemie. Firma jednak nie udzieliła dalszych szczegółowych informacji na temat problemu, pozostawiając wiele pytań bez odpowiedzi. Niestety, jak zaznaczyli badacze, luka w systemie Kia to tylko jeden z wielu przykładów problemów z bezpieczeństwem w pojazdach połączonych z Internetem.  

Jak dodaje portal arstechnica, w ciągu ostatnich dwóch lat odkryto podobne luki nie tylko w samochodach Kia, ale także w pojazdach takich marek, jak Hyundai, Honda, Toyota i Infiniti. Sam Curry, jeden z badaczy odpowiedzialnych za odkrycie problemu przyznał, że problemy z bezpieczeństwem w pojazdach są bardziej powszechne niż się wydaje. Brak odpowiednich zabezpieczeń w systemach zarządzania pojazdami internetowymi stwarza poważne ryzyko nie tylko dla prywatności, ale i dla bezpieczeństwa właścicieli samochodów​.

Warto podkreślić, że podobne luki mogą zostać wykorzystane przez cyberprzestępców do zbierania danych osobowych, takich jak adres zamieszkania, numery telefonów czy adresy e-mail właścicieli pojazdów, co dodatkowo zwiększa skalę zagrożenia.