26 de septiembre de 2024Ravie LakshmananIndustria automotriz / Tecnología Los investigadores de ciberseguridad han revelado un conjunto de vulnerabilidades ahora parcheadas en los vehículos Kia que, si se hubieran explotado con éxito, podrían haber permitido el control remoto de funciones clave simplemente usando solo una matrícula. «Estos ataques podrían ejecutarse de forma remota en cualquier vehículo equipado con hardware en aproximadamente 30 segundos, independientemente de si tenía una suscripción activa a Kia Connect», dijeron los investigadores de seguridad Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll. Los problemas afectan a casi todos los vehículos fabricados después de 2013, incluso permitiendo a los atacantes obtener acceso de forma encubierta a información confidencial, incluido el nombre, el número de teléfono, la dirección de correo electrónico y la dirección física de la víctima. Básicamente, el adversario podría abusar de esto para agregarse como un segundo usuario «invisible» en el automóvil sin el conocimiento del propietario. El quid de la investigación es que los problemas explotan la infraestructura del concesionario Kia («kiaconnect.kdealer[.]com») utilizado para activaciones de vehículos para registrarse en una cuenta falsa a través de una solicitud HTTP y luego generar tokens de acceso. El token se utiliza posteriormente junto con otra solicitud HTTP a un punto final APIGW del concesionario y el número de identificación del vehículo (VIN) de un automóvil para obtener el nombre, el número de teléfono y la dirección de correo electrónico del propietario del vehículo. Además, los investigadores descubrieron que es posible obtener acceso al vehículo de una víctima con algo tan trivial como emitir cuatro solicitudes HTTP y, en última instancia, ejecutar comandos de Internet al vehículo: generar el token del concesionario y recuperar el encabezado «token» de la respuesta HTTP utilizando el método mencionado anteriormente Obtener la dirección de correo electrónico y el número de teléfono de la víctima Modificar el acceso anterior del propietario utilizando la dirección de correo electrónico filtrada y el número de VIN para agregar al atacante como el titular principal de la cuenta Agregar al atacante al vehículo de la víctima agregando una dirección de correo electrónico bajo su control como el propietario principal del vehículo, lo que permite ejecutar comandos arbitrarios «Desde el lado de la víctima, no hubo notificación de que se hubiera accedido a su vehículo ni se hubieran modificado sus permisos de acceso», señalaron los investigadores. «Un atacante podría resolver la matrícula de alguien, ingresar su VIN a través de la API, luego rastrearlo pasivamente y enviar comandos activos como desbloquear, arrancar o tocar la bocina». En un escenario de ataque hipotético, un actor malintencionado podría ingresar la matrícula de un vehículo Kia en un tablero personalizado, recuperar la información de la víctima y luego ejecutar comandos en el vehículo después de unos 30 segundos. Después de la divulgación responsable en junio de 2024, Kia abordó las fallas a partir del 14 de agosto de 2024. No hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza. «Los automóviles seguirán teniendo vulnerabilidades, porque de la misma manera que Meta podría introducir un cambio de código que permitiría a alguien hacerse cargo de su cuenta de Facebook, los fabricantes de automóviles podrían hacer lo mismo con su vehículo», dijeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.