È stata scoperta una serie di vulnerabilità nei veicoli Kia che consentirebbero il controllo remoto di funzionalità cruciali semplicemente conoscendo la targa del veicolo. Tali attacchi potevano essere eseguiti da remoto contro qualsiasi veicolo dotato di hardware, in circa 30 secondi, indipendentemente dal fatto che avesse un abbonamento attivo a Kia Connect.
Oltre a ciò, un attaccante avrebbe potuto facilmente ottenere informazioni personali, inclusi nome, numero di telefono, indirizzo email e indirizzo fisico della vittima, permettendogli di aggiungersi come utente secondario “invisibile” senza che il proprietario se ne accorgesse.
Il gruppo di ricercatori che ne ha annunciato la scoperta, ha anche sviluppato uno strumento per dimostrare l’impatto di queste vulnerabilità. Un attaccante poteva inserire la targa di un veicolo Kia ed eseguire comandi sul veicolo dopo circa 30 secondi.
Fortunatamente, queste vulnerabilità sono state corrette e il tool utilizzato pre la PoC non è mai stato rilasciato. Il team Kia ha confermato che tali falle non sono mai state sfruttate da attori malevoli.
L’identificazione delle Vulnerabilità
Un gruppo di hacker da diversi anni si dedica alla ricerca di vulnerabilità su oltre una dozzina di case automobilistiche, individuando problemi critici che avrebbero permesso agli attaccanti di localizzare, disabilitare i sistemi di avviamento, sbloccare e avviare circa 15,5 milioni di veicoli da remoto.
Nel caso specifico, ricercatori hanno preso di mira il sito owners.kia.com e l’app Kia Connect per iOS, poiché entrambe consentivano l’esecuzione di comandi internet-to-vehicle.
Il sito owners.kia.com utilizzava un reverse-proxy backend per inoltrare i comandi utente all’API effettiva, mentre l’app mobile accedeva direttamente a tale API.
I seguenti esempi di richieste HTTP illustrano il funzionamento del sistema per sbloccare una porta.
POST /apps/services/owners/apigwServlet.html HTTP/2
Host: owners.kia.com
Httpmethod: GET
Apiurl: /door/unlock
Servicetype: postLoginCustomer
Cookie: JSESSIONID=SESSION_TOKEN;Richiesta HTTP per sbloccare la porta di un’auto su “owners.kia.com”
La richiesta viene inoltrata a api.owners.kia.com con un identificativo di sessione (Sid) e una chiave VIN, consentendo il controllo del veicolo.
Ottenere il controllo non autorizzato dei veicoli
Il fulcro della ricerca è che le vulnerabilità sfruttavano l’infrastruttura delle concessionarie Kia (“kiaconnect.kdealer.com”), utilizzata per le attivazioni dei veicoli, al fine di registrare un account falso tramite una richiesta HTTP e generare successivamente dei token di accesso.
Il token è poi utilizzato in combinazione con un’altra richiesta HTTP verso un endpoint APIGW della concessionaria e il numero di identificazione del veicolo (VIN) per ottenere il nome del proprietario del veicolo, il numero di telefono e l’indirizzo email.
Inoltre, i ricercatori hanno scoperto che è possibile accedere al veicolo di una vittima con estrema semplicità, inviando solo quattro richieste HTTP, permettendo infine l’esecuzione di comandi da internet al veicolo:
- Generare il token della concessionaria e recuperare l’intestazione “token” dalla risposta HTTP utilizzando il metodo precedentemente menzionato.
- Ottenere l’indirizzo email e il numero di telefono della vittima.
- Modificare l’accesso del proprietario utilizzando l’indirizzo email e il VIN trapelati per aggiungere l’attaccante come titolare principale dell’account.
- Aggiungere l’attaccante al veicolo della vittima inserendo un indirizzo email sotto il suo controllo come proprietario principale del veicolo, consentendo così l’esecuzione di comandi arbitrari.
“Dal lato della vittima, non c’era alcuna notifica che il loro veicolo fosse stato accesso o che i permessi di accesso fossero stati modificati” hanno sottolineato Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll.
“Un attaccante potrebbe risalire alla targa di un veicolo, inserire il suo VIN tramite l’API, quindi tracciarlo passivamente e inviare comandi attivi come sbloccare, avviare o suonare il clacson”.
Controllo Remoto delle Auto Kia
In uno scenario ipotetico di attacco, un malintenzionato potrebbe inserire la targa di un veicolo Kia in un cruscotto personalizzato, recuperare le informazioni della vittima e poi eseguire comandi sul veicolo dopo circa 30 secondi.
Facendo seguito ad una comunicazione ufficiale di giugno, Kia ha risolto le vulnerabilità il 14 agosto 2024. Non ci sono prove che queste vulnerabilità siano mai state sfruttate in scenari reali.
“Le auto continueranno ad avere vulnerabilità, perché allo stesso modo in cui Meta potrebbe introdurre una modifica del codice che consente a qualcuno di prendere il controllo del tuo account Facebook, i produttori di automobili potrebbero fare lo stesso per il tuo veicolo” – hanno dichiarato i ricercatori.
Conclusione
Sebbene queste vulnerabilità siano state corrette in agosto 2024, l’esistenza di tali problemi sottolinea la complessità crescente della sicurezza informatica nel settore automobilistico. Come dichiarato dai ricercatori, le automobili continueranno ad avere vulnerabilità, esattamente come le piattaforme digitali: la loro complessità le rende bersagli di attacchi sofisticati. Si rende quindi essenziale che le case automobilistiche adottino rigorosi protocolli di sicurezza per proteggere i loro veicoli e i dati personali dei loro clienti.
8BitSecurity 