Kia автокөліктеріндегі қауіпсіздік осалдығы

Kia автокөліктеріне арналған қауіпсіздік жүйесінде ауыр осалдық анықталды, бұл хакерлерге автокөліктерді жүктеп алуға және қашықтан іске қосуға мүмкіндік берді. Бұл ақпарат 2024 жылдың 1 қазанында жарияланды.

Оңтүстік Кореялық өндіруші Kia, 2013 жылдан бері шығарылған автокөліктерді тек 30 секунд ішінде, жай ғана мемлекеттік нөмір бойынша хакерлерге басқаруға бергенін хабарлады. Атап айтқанда, төрт америкалық киберқауіпсіздік зерттеушісі – Сам Керри, Нейко Ривера, Джастин Райнахт және Иэн Кэрролл – автомобильдердің компьютерлік жүйесіндегі осалдықты пайдаланып, бұл әдісті жүзеге асырды.

Хакерлерге автокөліктің мемлекеттік нөмірін алу жеткілікті болды. Бұл нөмірді қолданып, Kia дилерлері үшін арнайы жүйеде жалған аккаунт жасау арқылы автокөлік иесінің аты-жөні, телефон нөмірі және электронды пошта мекенжайын алуға қол жеткізді. Порталға кіріп болғаннан кейін, олар автоматты түрде автокөлік иесінің электронды поштасын өзгертіп, жаңа иесі ретінде тіркеле алды. Бұл жөнінде көлік сатып алушыға ешқандай хабарлама жіберілмеді, яғни, аты-жөнінің өзгеруі туралы ештеңені байқамайды.

«Қауіпсіздік тізбегіндегі бұзушылықтар», өндірушінің жауапкершілігі туралы Эдуард Босьер, IDnow компаниясының бүкіл әлемдегі мобильді және саяхаттық сату директоры атап өтті.

Осылайша, автокөліктің қашықтан басқару мүмкіндігі пайда болды, соның ішінде автокөлікті ашу, іске қосу, бақылау, немесе дабылын қосу мүмкіндіктері де болды.

Киберқауіпсіздік мамандарының есебінде, «Kia Connect» белсенді болса да, болмаса да, мұндай шабуылдарды қашықтан жасауға болады деген. Зерттеушілер осалдықтарды Kia-ға хабарлағаннан кейін, өндіруші мәселені шешу үшін жаңартуларды шығарды. Сонымен қатар, олар хакерлердің осы осалдықты пайдаланғанын растаған жоқ.

Эдуард Босьер автокөлікті пайдалану кезінде осындай қауіптерден қорғау үшін, «сыртқы қолданба арқылы қауіпсіздікті» қамтамасыз етуді ұсынды, ол «биометриялық сәйкестендіру» арқылы автокөлікті бақылауды нақты пайдаланушының һәмаууына кепілдік береді.