Investigadores de ciberseguridad han revelado un conjunto de vulnerabilidades ahora parcheadas en los vehículos Kia que, de ser explotadas con éxito, podrían haber permitido el control remoto de funciones clave simplemente usando una matrícula.
"Estos ataques podrían ejecutarse de forma remota en cualquier vehículo equipado con hardware en unos 30 segundos, independientemente de si tenía una suscripción activa a Kia Connect", dijeron los investigadores de seguridad Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll .
Los problemas afectan a casi todos los vehículos fabricados después de 2013, permitiendo incluso a los atacantes obtener acceso de forma encubierta a información confidencial, incluido el nombre, el número de teléfono, la dirección de correo electrónico y la dirección física de la víctima.
Básicamente, esto podría ser abusado por el adversario para agregarse como un segundo usuario "invisible" en el auto sin el conocimiento del propietario.
El quid de la investigación es que los problemas explotan la infraestructura del concesionario Kia ("kiaconnect.kdealer[.]com") utilizada para las activaciones de vehículos para registrar una cuenta falsa a través de una solicitud HTTP y luego generar tokens de acceso.
El token se utiliza posteriormente junto con otra solicitud HTTP a un punto final APIGW del concesionario y el número de identificación del vehículo (VIN) de un automóvil para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario del vehículo.
Es más, los investigadores descubrieron que es posible obtener acceso al vehículo de una víctima con algo tan trivial como emitir cuatro solicitudes HTTP y, en última instancia, ejecutar comandos de Internet al vehículo.
- Genere el token del distribuidor y recupere el encabezado "token" de la respuesta HTTP utilizando el método mencionado anteriormente
- Obtener la dirección de correo electrónico y el número de teléfono de la víctima
- Modificar el acceso anterior del propietario utilizando una dirección de correo electrónico filtrada y un número de VIN para agregar al atacante como el titular principal de la cuenta
- Agregue al atacante al vehículo de la víctima agregando una dirección de correo electrónico bajo su control como propietario principal del vehículo, lo que permite ejecutar comandos arbitrarios
“Por parte de la víctima no hubo ninguna notificación de que se hubiera accedido a su vehículo ni modificado sus permisos de acceso”, apuntaron los investigadores.
"Un atacante podría resolver la matrícula de alguien, ingresar su VIN a través de la API, luego rastrearlo pasivamente y enviar comandos activos como desbloquear, arrancar o tocar la bocina".
En un escenario de ataque hipotético, un actor malintencionado podría ingresar la matrícula de un vehículo Kia en un tablero personalizado, recuperar la información de la víctima y luego ejecutar comandos en el vehículo después de unos 30 segundos.
Tras una divulgación responsable en junio de 2024, Kia solucionó las fallas a partir del 14 de agosto de 2024. No hay evidencia de que estas vulnerabilidades hayan sido explotadas alguna vez.
"Los coches seguirán teniendo vulnerabilidades, porque de la misma manera que Meta podría introducir un cambio de código que permitiría a alguien hacerse con el control de tu cuenta de Facebook, los fabricantes de coches podrían hacer lo mismo con tu vehículo", dijeron los investigadores.
