Zranitelnost Kia
Útočníci mohou sledovat a ovládat miliony vozidel přes slabé zabezpečení API
Napsal: Petr Zahálka, Thein Security
V červnu 2024 byla objevena závažná zranitelnost v dealer portálu Kia, která umožňovala útočníkům vzdáleně přistupovat k milionům vozidel. Chyba spočívala v nedostatečně zabezpečeném API rozhraní, které útočníkům umožňovalo přístup k citlivým datům, jako jsou jména majitelů, telefonní čísla a VIN vozidel. Díky tomu mohli bez problémů ovládat vozidla – odemknout je, sledovat jejich polohu, nebo dokonce nastartovat motor.
Jak probíhal útok:
1. Využití API: Útočníci získali přístup k API po registraci dealerského účtu.
2. Ovládání vozidel: Pomocí minimálních dat, jako je poznávací značka nebo VIN, mohli provést vzdálené příkazy během pouhých 30 sekund.
3. Žádné upozornění majitelů: Útočníci mohli vozidlo ovládat, aniž by byli majitelé upozorněni, že došlo k manipulaci s jejich vozidlem.
Případ Tesla Cybertruck
Podobně jako v případě Kia je i Tesla schopna vzdáleně deaktivovat svá vozidla. Když Tesla deaktivovala Cybertruck darovaný Ramzanu Kadyrovovi, vůdci Čečenska, ukázala, jak silnou kontrolu mají výrobci nad svými připojenými vozy, a to nejen z důvodu bezpečnosti, ale i z politických důvodů.
Až z toho běhá mráz po zádech Útočníci mohou sledovat a ovládat miliony vozidel přes slabé zabezpečení API
V červnu 2024 byla objevena závažná zranitelnost v dealer portálu Kia, která umožňovala útočníkům vzdáleně přistupovat k milionům vozidel. Chyba spočívala v nedostatečně zabezpečeném API rozhraní, které útočníkům umožňovalo přístup k citlivým datům, jako jsou jména majitelů, telefonní čísla a VIN vozidel. Díky tomu mohli bez problémů ovládat vozidla – odemknout je, sledovat jejich polohu, nebo dokonce nastartovat motor.
Jak probíhal útok:
1. Využití API: Útočníci získali přístup k API po registraci dealerského účtu.
2. Ovládání vozidel: Pomocí minimálních dat, jako je poznávací značka nebo VIN, mohli provést vzdálené příkazy během pouhých 30 sekund.
3. Žádné upozornění majitelů: Útočníci mohli vozidlo ovládat, aniž by byli majitelé upozorněni, že došlo k manipulaci s jejich vozidlem.
Případ Tesla Cybertruck
Podobně jako v případě Kia je i Tesla schopna vzdáleně deaktivovat svá vozidla. Když Tesla deaktivovala Cybertruck darovaný Ramzanu Kadyrovovi, vůdci Čečenska, ukázala, jak silnou kontrolu mají výrobci nad svými připojenými vozy, a to nejen z důvodu bezpečnosti, ale i z politických důvodů.
Až z toho běhá mráz po zádech.