Hackers poderiam controlar remotamente carros da Kia

Hackers poderiam controlar remotamente carros da Kia usando apenas placas de licença

 

Pesquisadores de segurança cibernética revelaram um conjunto de vulnerabilidades agora corrigidas em veículos da Kia, que se exploradas com sucesso poderiam permitir o controle remoto de determinadas funções apenas utilizando a placa de licença do veículo.

 

“Esses ataques poderiam ser executados remotamente em qualquer veículo equipado com o hardware necessário em cerca de 30 segundos, independentemente de ter uma assinatura ativa do Kia Connect”, explicaram os pesquisadores de segurança Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll.

 

As falhas afetam quase todos os veículos fabricados após 2013, permitindo que invasores tenham acesso a informações sensíveis, como nome, número de telefone, e-mail e endereço físico da vítima. Esse acesso poderia ser explorado para que o atacante se adicionasse como um “usuário invisível” no sistema do carro, sem o conhecimento do proprietário.

 

A pesquisa revela que os problemas exploram a infraestrutura dos concessionários Kia (“kiaconnect.kdealer[.]com”), usada para ativação dos veículos. A falha permitia que os invasores registrassem uma conta falsa através de uma solicitação HTTP, gerando tokens de acesso. Esses tokens, em seguida, poderiam ser usados juntamente com outro pedido HTTP ao endpoint da concessionária (APIGW) e ao número de identificação do veículo (VIN), para obter informações pessoais do proprietário, como nome, telefone e e-mail.

 

 

Além disso, os pesquisadores descobriram que era possível acessar o veículo da vítima fazendo apenas quatro solicitações HTTP. Com isso, o invasor poderia executar comandos remotos no carro. O processo básico envolvia os seguintes passos:

 

  • Gerar o token da concessionária e recuperar o cabeçalho “token” da resposta HTTP usando o método mencionado anteriormente.
  • Buscar o e-mail e o número de telefone da vítima.
  • Modificar o acesso anterior do proprietário, utilizando o e-mail e o número VIN vazados, adicionando o atacante como o principal responsável pela conta.
  • Adicionar o atacante ao sistema do veículo, inserindo um e-mail sob seu controle como o proprietário principal do carro, desta forma permitindo a execução de comandos arbitrários.

 

“Do lado da vítima, não havia nenhuma notificação de que seu veículo havia sido acessado ou de que suas permissões de acesso haviam sido alteradas”, relataram os pesquisadores.

 

Em um cenário hipotético de ataque, um cibercriminoso poderia inserir a placa de licença de um veículo Kia em um painel de controle customizado, recuperar as informações da vítima e executar comandos no carro em cerca de 30 segundos.

 

Remotely Controlled Kia Cars

 

Após a divulgação responsável em junho de 2024, as falhas foram corrigidas pela Kia no dia 14 de agosto de 2024. Não há evidências de que essas vulnerabilidades tenham sido exploradas de forma maliciosa antes da correção.

 

“Os carros continuarão a ter vulnerabilidades, da mesma forma que uma mudança de código no Meta poderia permitir que alguém assumisse o controle da sua conta no Facebook, os fabricantes de veículos também podem cometer erros que comprometam a segurança do seu carro”, informaram os pesquisadores.

 

Conclusão

Este artigo ressalta a importância da segurança cibernética no setor automotivo, especialmente com a crescente conectividade dos veículos modernos. Incidentes como este mostram que os riscos de segurança vão além dos computadores e smartphones, agora englobando também os automóveis, que podem ser alvo de hackers com intenções maliciosas. Para os proprietários de veículos conectados, manter os sistemas atualizados e estar ciente de vulnerabilidades pode ser crucial para evitar que invasores se aproveitem de falhas de segurança.

 

Fonte: https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html