Biztonságtechnikai kutatók egy csoportja kritikus hibát fedezett fel a Kia kereskedői portáljában, amelyek megkönnyítik a hackerek számára, hogy 2013 után gyártott autók millióit tudták ellopni, mindössze a rendszámtábla alapján. A hibát a felfedezése óta elvileg már javították.
A Kia biztonsági kutatói több hibát is felfedeztek, melynek eredményeképpen hackerek törhetnek be Ferrari, BMW, Rolls-Royce, Porsche és más autógyártók járműveinek elektronikus rendszerébe, és akár feloldhatják, elindíthatják az autókat − írta meg a Bleeping Computer.
Sam Curry kutató elárulta, hogy a Kia-portálon 2024. június 11-én találtak egy kritikus hibát is,
mellyel egy jármű irányítását 30 másodperc alatt át lehetett venni távolról, „függetlenül attól, hogy az rendelkezik-e aktív Kia Connect előfizetéssel”.
E hibák miatt illetéktelenek kezébe juthattak a gépjármű-tulajdonosok személyes adatai is, többek között a nevük, a telefonszámuk, e-mail címük és lakhelyük, melyhez így már a hackerek magukat is hozzáadhatták felhasználóként. A kutatók tesztelték, hogy miként lehet pár másodperc alatt egy autót kinyitni vagy lezárni, melyhez létrehoztak egy fiókot a kiaconnect.kdealer.com portálon, és máris hozzáfértek az információkhoz.
A hitelesítés után érvényes hozzáférésük volt a jármű tulajdonosának adataihoz és azon keresztül az autót irányító elektronikai rendszerhez, mint alább is látható.
Megállapították, hogy a következőkre tudják használni a csalók a portált:
Amennyiben ezeket megszerezték a csalók, már be tudták írni az autó azonosító számát, majd a tulajdonos tudta nélkül nyomon követhették, feloldhatták és akár el is indíthatták a járművet.
Ez az állapot a kutatók szerint egészen addig állhat fenn, amíg „az áldozat részéről nem érkezett értesítés arról, hogy a járművükhöz hozzáfértek, és a hozzáférési engedélyeiket sem módosították”. Sam Curry szerint június óta ezt a hibát javították.