Dne 11. junija 2024 je bila razkrita pomembna varnostna ranljivost v vozilih Kia. Napadalci so lahko izkoristili to ranljivost, kar jim je omogočilo nepooblaščen nadzor nad ključnimi funkcijami vozila. Vse, kar so potrebovali, je bila registrska tablica.
## Kako hitro se lahko izvede napad?
Napad je bilo mogoče izvesti hitro, v približno 30 sekundah, ne glede na stanje naročnine na Kia Connect vozila.
## Posledice varnostne ranljivosti
Poleg nadzora nad vozilom so ranljivosti napadalcem omogočile, da tiho pridobijo občutljive osebne informacije, vključno z imenom, kontaktnimi podatki in fizičnim naslovom žrtve. Te informacije so napadalci lahko izkoristili za dodajanje nepooblaščenega drugega uporabnika vozila žrtve brez njihove vednosti.
## Odkritje in izkoriščanje ranljivosti
Raziskovalci so odkrili napako v lastniškem portalu Kia. Ta je omogočala nepooblaščen dostop do vozil, kjer je napadalec lahko poslal zahtevo GET na owners.kia.com s posebej oblikovanimi parametri za izkoriščanje ranljivosti in pridobitev žetona seje (Sid).
Ta žeton in edinstveni identifikator vozila (Vinkey) sta lahko nato uporabita v drugi zahtevi GET do API-ja Kia (api.owners.kia.com) za daljinsko odklepanje vrat avtomobila. To je raziskovalce spodbudilo k preiskovanju spletnega mesta prodajalcev Kia, saj so domnevali o podobnih ranljivostih.
## Postopek aktivacije novega vozila
Raziskovalci so preučevali postopek aktivacije novega vozila pri Kia in našli URL, uporabljen za začetno registracijo. Ta je vseboval dostopni žeton s strani prodajalca in identifikacijsko številko vozila (VIN).
Žeton je bil potrjen proti končni točki Kia Connect prodajalca z uporabo zahteve POST. Analiza JavaScripta prodajalcev je razkrila morebitne klice API-jev, ki so namenjeni samo zaposlenim, kot je iskanje vozil dealerja z uporabo končne točke “/dec/dlr/dvl”.
Z lastnim žetonom prodajalca so poskusili podobno zahtevo POST do te končne točke z znanim VIN, z namenom dostopa do notranjih funkcij prodajalca.
## Analiza komunikacije
Ugotovili so, da dostopni žeton API-ja prodajalca, ki so ga prejeli lastniki avtomobilov, ni deloval. Z analizo komunikacije med aplikacijo lastnika in strežnikom Kia so lahko posneli postopek registracije za račun prodajalca. To jim je omogočilo ustvarjanje veljavnega dostopnega žetona prodajalca z uporabo lažne registracije prodajalca.
S tem žetonom so lahko poizvedovali po ozadju Kia in pridobili občutljive informacije o lastniku, kot so ime, telefonska številka in e-poštni naslov.
## Kako so napadalci obvladali ranljivost?
Z izkoriščanjem serije API-jev so lahko napadalci pridobili žeton prodajalca, pridobili informacije o žrtvi z uporabo VIN, znižali dostop lastnika preko puščene e-pošte in se dodali kot primarni račun.
Po besedah Samcurry je to omogočilo daljinske ukaze, kot so zaklepanje/odklepanje, zagon/ustavitev, hupanje in lociranje vozila. Ta napad je bil mogoč na vozilih Kia, izdelanih po letu 2013.
Zgrajen je bil dokaz-of-koncept nadzorne plošče za prikaz napada z vnosom registarske tablice, pridobivanjem VIN, izvajanjem korakov prevzema in prikazom seznama kompromitiranih vozil za nadaljnji nadzor.