Πώς χάκερ απέκτησαν πρόσβαση σε εκατομμύρια αυτοκίνητα γνωστού κατασκευαστή

Ερευνητές κυβερνοασφάλειας, ανέφεραν πρόσφατα ένα ελάττωμα στην ιστοσελίδα γνωστής αυτοκινητοβιομηχανίας, που επέτρεψε σε χάκερ να ελέγξουν από απόσταση βασικές λειτουργίες εκατομμυρίων αυτοκινήτων.

Η πλήρης έκθεση, που δημοσιεύτηκε στο προσωπικό blog του Sam Curry – ενός από τους ερευνητές – δίνει ένα χρονικό, του πώς η ομάδα κατάφερε να χρησιμοποιήσει αυτό το ελάττωμα, για να «εισβάλει» σε αυτοκίνητα.

Τον Ιούνιο, οι ερευνητές βρήκαν ευπάθειες που επηρέαζαν «τα οχήματα Kia με απομακρυσμένο έλεγχο βασικών λειτουργιών χρησιμοποιώντας μόνο την πινακίδα κυκλοφορίας». Η έκθεσή τους αποκαλύπτει ότι οι χάκερς, ήταν σε θέση να παρακολουθούν απομακρυσμένα την τοποθεσία ενός αυτοκινήτου, να ξεκλειδώνουν τις πόρτες και να ξεκινούν τον κινητήρα.

Σε ορισμένα μοντέλα , ήταν ακόμη σε θέση να ενεργοποιήσουν την κάμερα από απόσταση.

Οι ερευνητές δήλωσαν, ότι αυτό το κενό ασφαλείας, ήταν προσβάσιμο μέσα από την ιστοσελίδα της Kia. Έτσι οι χάκερς είχαν πρόσβαση σε όλα τα διαδικτυακά χαρακτηριστικά των αυτοκινήτων του κατασκευαστή.

Ο Curry ανέβασε ένα βίντεο στο YouTube που έδειξε ότι είχε πρόσβαση σε ένα Kia EV6 μέσω μιας εφαρμογής που ονομάζεται KIAtool. Αρχικά εισάγει τον αριθμό αριθμού κυκλοφορίας του αυτοκινήτου και την πολιτεία, για να αποκτήσει το VIN (αριθμό αναγνώρισης οχήματος). Μόλις ληφθούν όλα τα δεδομένα, ο Curry πηγαίνει στην καρτέλα Γκαράζ, πατάει «ξεκλείδωμα» και οι πόρτες ανοίγουν.

Εκτός από την παροχή πρόσβασης για τον έλεγχο των οχημάτων, το ελάττωμα της ιστοσελίδας έδωσε επίσης στους χάκερ μια πληθώρα προσωπικών πληροφοριών σχετικά με τους πελάτες της Kia, συμπεριλαμβανομένων των ονομάτων, των αριθμών τηλεφώνου, των οικιακών διευθύνσεων και των «προηγούμενων διαδρομών».

Οι ερευνητές ενημέρωσαν την Kia σχετικά με την ευπάθεια του ιστότοπου, η οποία έκτοτε έχει επιδιορθωθεί. Η Kia δήλωσε ότι το ελάττωμα δεν χρησιμοποιήθηκε ποτέ κακόβουλα και το KIAtool δεν κυκλοφόρησε ποτέ στο ευρύ κοινό.