Gestión de superficies de ataque, operaciones de seguridad Vulnerabilidades del sitio web de Kia permitidas Control remoto del automóvil Prajeet Nair (@prajeetspeaks) • 30 de septiembre de 2024 Un investigador de seguridad podría iniciar y detener de forma remota los automóviles Kia a través de vulnerabilidades ahora parcheadas en la aplicación para teléfonos inteligentes y el sitio web del fabricante de automóviles. (Imagen: Shutterstock) Las vulnerabilidades ahora parcheadas en los servicios en línea del fabricante de automóviles Kia permitieron a los atacantes controlar de forma remota las funciones del vehículo utilizando solo un número de matrícula, poniendo en riesgo a millones de automóviles. Ver también: Planificación para 2025: Ingeniería de detección con el Elastic Global Threat Report Las fallas, descubiertas por el investigador de seguridad Sam Curry, podrían explotarse en unos 30 segundos y afectan a los modelos de Kia que se remontan a 2014 en diversos grados. Curry y sus colegas descubrieron que los modelos más recientes del fabricante de automóviles son especialmente susceptibles al control remoto de funciones clave como desbloquear puertas, arrancar el motor y desactivar el motor de arranque. Incluso los modelos más antiguos que no podían controlarse de forma remota eran propensos a ceder datos de geolocalización. Curry dijo que descubrió las fallas presentes en el sitio web oficial para propietarios del fabricante de automóviles de Corea del Sur y en su aplicación para iOS. «Desde entonces, estas vulnerabilidades se solucionaron, esta herramienta nunca se lanzó y el equipo de Kia ha validado que nunca fue explotada maliciosamente», dijo Curry después de revelar que creó una aplicación de herramienta que permitiría tomar el control de los automóviles ingresando la matrícula de un coche kia. Los fallos de conexión remota también permitieron a los atacantes recopilar información personal confidencial, como el nombre, la dirección, el correo electrónico y el número de teléfono del propietario. Kia no respondió de inmediato a una solicitud de comentarios. Los automóviles han sido el objetivo favorito de los investigadores de seguridad, ya que el software y las unidades de control electrónico dominan lo que alguna vez fueron máquinas puramente analógicas. Las aplicaciones para teléfonos inteligentes capaces de controlar la funcionalidad básica del vehículo «exponen esas funciones físicas tradicionales a las fragilidades de comunicación y seguridad de los protocolos y aplicaciones de Internet», dijo Gunter Ollmann, director de tecnología de IOActive. Curry dijo que pudo agregarse como segundo usuario del vehículo sin el conocimiento del propietario. Según Curry, el proceso de toma del control podría completarse en menos de 30 segundos. Inicialmente, los investigadores se centraron en el sitio web propietarios.kia.com y en la aplicación Kia Connect para iOS, que permitía comandos de Internet al vehículo. Al analizar las solicitudes HTTP realizadas a través de estas plataformas, el equipo de Curry descubrió que el sitio web utilizaba un sistema backend de proxy inverso para reenviar comandos de usuario, como abrir la puerta de un automóvil, al servicio API backend de Kia. Este servicio API, a su vez, ejecutaba los comandos del vehículo de forma remota. Enviar una solicitud HTTP desde el sitio webowners.kia.com al sistema backend podría desbloquear la puerta de un automóvil simplemente usando un token de identificación de sesión y una clave de número de identificación del vehículo. Curry y su equipo también examinaron la infraestructura de los concesionarios de Kia. Los concesionarios Kia utilizan un sistema similar para registrar y activar vehículos nuevos para los clientes. Los investigadores podrían registrar cuentas falsas y generar tokens de acceso válidos. Luego utilizaron estos tokens para acceder a datos confidenciales del usuario, incluida la información de contacto. Obtener acceso a las API del concesionario Kia permitió a los atacantes enviar una serie de comandos para obtener control total sobre un vehículo. Las API de los concesionarios también expusieron los perfiles de los usuarios, lo que permitió a los piratas informáticos ver la información personal del propietario del vehículo, lo que se suma a la amenaza general de violaciones de la privacidad y acceso no autorizado al vehículo. Los fallos descubiertos en esta investigación siguieron a un descubrimiento previo realizado por el equipo de Curry hace dos años, donde identificó vulnerabilidades críticas en más de una docena de fabricantes de automóviles. Esos problemas también permitieron a los atacantes desactivar vehículos de forma remota y rastrear sus ubicaciones, lo que afectó a aproximadamente 15,5 millones de vehículos (ver: Vulnerabilidades críticas encontradas en autos de lujo ahora solucionadas). Por supuesto, no todos los defectos de adquisición de automóviles necesitan un componente de piratería. En 2023, Kia se encontró lanzando parches de software para detener una serie de robos de automóviles utilizando una técnica popularizada en TikTok que no requería nada más que un destornillador y un conector USB tipo A macho para encender el encendido mecánico (ver: Kia y Hyundai Fix TikTok Security Challenge). ). URL de la publicación original: https://www.databreachtoday.com/gone-in-30-segundos-kia-hack-unveiled-a-26415