Исследователи раскрыли способ доступа к автомобилям KIA с помощью только данных с номерного знака

Исследователи раскрыли способ получения удалённого управления за 30 секунд ко многим моделям автомобилей KIA (2014-2025 годов выпуска) с помощью только данных с номерного знака и без активной подписки Kia Connect.

В настоящее время эта уязвимость закрыта производителем.Оказалось, что уязвимость в системе передачи данных KIA позволяла злоумышленнику незаметно получить личную информацию, включая имя водителя, номер телефона, адрес электронной почты и физический адрес.

Проблема оказалась критична, так как появлялась возможность добавить любого человека в качестве невидимого второго пользователя на автомобиле жертвы без ведома владельца.Исследователи создали инструмент для демонстрации уязвимостей под названием KIATool, с помощью которого можно было просто ввести номерной знак автомобиля Kia, а затем выполнять команды на автомобиле примерно через 30 секунд.Уязвимости были обнаружены в работе веб-сайта owners.kia.com, приложения Kia Connect на iOS и сервиса com.myuvo.link и могли предоставить неавторизированный доступ к выполнению команд «из интернета в автомобиль».Оказалось, что веб-сайт владельцев KIA и мобильное приложение служили одной и той же цели, но по-разному обрабатывали команды автомобиля.