Mokslininkams atskleidžiant nuotolinio įsilaužimo spragas: priklausomi nuo automobilių, „Kia“ susiduria su dar vienu saugumo išgąsčiu
admin 
„Kia“ tiesiog negali pailsėti, kai kalbama apie transporto priemonių saugumą. Po plačiai nuskambėjusių problemų, susijusių su automobilių vagystėmis per USB pernai, automobilių gamintojas vėl atsiduria dėmesio centre – šį kartą dėl nuotolinio įsilaužimo spragų, kurios galėjo leisti užpuolikams perimti milijonų transporto priemonių kontrolę. Automobilių entuziastų bendruomenei tai kelia rimtą susirūpinimą dėl to, kaip automobilių gamintojai valdo vis labiau prijungtų transporto priemonių saugumą.
Kitas pažeidžiamumų ratas
Praėjusiais metais „Kia“ savininkus kamavo daugybė automobilių vagysčių, kai blogi aktoriai pasinaudojo dizaino trūkumu, naudodami USB įrenginius transporto priemonėms užvesti ir pavogti. Dabar saugumo tyrinėtojai atskleidė naują pažeidžiamumų rinkinį – šį kartą „Kia“ internetinėse sistemose – dėl kurių pavojus galėjo kilti dar didesniam skaičiui automobilių. Skirtingai nuo USB išnaudojimo, kuriam reikėjo fizinės prieigos prie transporto priemonės, šis naujausias trūkumas leido užpuolikams nuotoliniu būdu valdyti pagrindines automobilio funkcijas iš bet kurios vietos, naudojant tik transporto priemonės valstybinį numerį.
Kibernetinio saugumo tyrinėtojas Samas Curry kartu su savo komanda šias spragas aptiko Kia savininkų portale. Ši svetainė sujungia Kia savininkus su jų automobiliais ir leidžia jiems atlikti įvairias užduotis, pavyzdžiui, užrakinti ir atrakinti duris arba užvesti variklį. Deja, tyrėjai nustatė, kad įsilaužėliai gali išnaudoti svetainę, kad užgrobtų šias funkcijas, savininkui to net nežinant.
„Kia“ prijungtos sistemos apgultos
Ne paslaptis, kad automobiliai tapo kur kas daugiau nei mechaninės mašinos. Šiandien transporto priemonės yra visiškai prijungtos prie interneto, todėl nuotoliniu būdu galima atnaujinti, atlikti diagnostiką ir netgi valdyti tam tikras funkcijas mobiliosiomis programėlėmis. Nors tai suteikia daugiau patogumo, tai taip pat atveria duris reikšmingai saugumo rizikai, kaip rodo šis „Kia“ atvejis.
Curry komanda išsiaiškino, kad pasinaudojęs „Kia“ savininkų portalu įsilaužėlis gali per 30 sekundžių įgyti automobilio ypatybių kontrolę. Dar daugiau susirūpinimą kelia tai, kad trūkumai atskleidė asmeninę transporto priemonės savininko informaciją, pvz., vardą, pavardę, adresą, telefono numerį ir el. Patekęs į sistemą, užpuolikas taip pat gali pridėti save kaip antrąjį transporto priemonės naudotoją be savininko žinios, suteikdamas jam visišką prieigą valdyti automobilį.
Entuziastų miniai, kuri mėgsta peržengti technologijų ir našumo ribas, mintis, kad įsilaužėlis gali nuotoliniu būdu valdyti jūsų kelionę, kelia siaubą. Pažeidžiamumas paveikė ne tik vieną ar du modelius – jis paveikė beveik kiekvieną „Kia“, pagamintą po 2013 m. Nuo durelių užrakinimo ir atrakinimo iki variklio užvedimo ar garsinio signalo paspaudimo – įsilaužėlis galėjo atlikti šiuos veiksmus su minimaliomis pastangomis, visa tai naudodamas „Kia“ sistemą. .
Techninis gedimas
Trūkumas slypi tame, kaip „Kia“ sistema apdorojo interneto ir transporto priemonės komandas. „Kia“ savininkų portalas komandoms vykdyti naudojo užpakalinę atvirkštinio tarpinio serverio sistemą ir čia viskas įvyko ne taip. Kai mokslininkai gavo prieigą, jie nustatė, kad gali apgauti sistemą, kad ji vykdytų komandas įsilaužėlio vardu.
Tačiau pažeidžiamas buvo ne tik savininkų portalas. „Kia“ platinimo infrastruktūra turėjo panašių problemų, todėl įsilaužėliai galėjo manipuliuoti sistemomis, susijusiomis su transporto priemonių paieška, registravimu ir kt. Naudodami užklausas, panašias į savininkų portale esančias užklausas, įsilaužėliai galėjo generuoti prieigos prieigos raktus, kurie leido jiems paskambinti pardavėjo API ir gauti prieigą prie neskelbtinos transporto priemonės savininko informacijos. Turėdami šiek tiek žinių, jie galėtų manipuliuoti duomenimis ir priskirti save kaip pagrindinius automobilio naudotojus.
„Kia“ nuolatinė kova su saugumu
„Kia“ pastaruoju metu atsidūrė karštoje vietoje, ypač dėl automobilių vagysčių, kurias įgalino USB išnaudojimas – pažeidžiamumas, kuris paveikė tūkstančius automobilių Jungtinėse Valstijose. Šie incidentai suteikė automobilių gamintojui prasto saugumo reputaciją, o šis naujausias įsilaužimo apreiškimas tik sustiprina šį suvokimą. Automobilių entuziastų bendruomenei apmaudu matyti, kaip prekės ženklas stengiasi apsaugoti savo transporto priemones, ypač kai technologijos yra tokia neatsiejama šiuolaikinių automobilių nuosavybės dalis.
„Kia“ nėra vienintelė, susidūrusi su tokiomis problemomis, tačiau faktas, kad jie susidūrė su nuolatinėmis saugumo problemomis, rodo didėjantį automobilių gamintojų poreikį investuoti į tvirtesnes kibernetinio saugumo priemones. Kai transporto priemonės tampa vis labiau susietos ir priklausomos nuo programinės įrangos, įsilaužimo rizika tik didės.
„Kia“ atsakas ir kelias į priekį
Jų nuopelnas, „Kia“ ėmėsi greitai, kai 2024 m. birželio mėn. buvo pranešta apie pažeidžiamumą. Iki rugpjūčio vidurio jie įdiegė pataisymą, kuris ištaisė trūkumą. Tačiau daugelio žala „Kia“ reputacijai jau buvo padaryta. Idėja, kad kas nors galėtų nuotoliniu būdu perimti jų automobilio valdymą, kartu su praeitų metų USB įsilaužimo paprastumu, daugeliui „Kia“ savininkų kėlė nerimą dėl prekės ženklo įsipareigojimo užtikrinti saugumą.
Visai automobilių pramonei tai turėtų būti pažadinimo skambutis. Mes gyvename tokiais laikais, kai transporto priemonės tampa tiek pat apie programinę įrangą, tiek apie arklio galias. Automobilių gamintojai turi teikti pirmenybę kibernetiniam saugumui, kaip ir našumui bei patikimumui. Entuziastams gerai sukonstruota mašina mažai ką reiškia, jei ją gali valdyti įsilaužėlis, esantis už tūkstančių kilometrų.
Samo Curry ir jo komandos aptiktos spragos galėjo būti pataisytos, tačiau jos primena, kad sujungti automobiliai nėra tik mašinos – jie taip pat yra potencialūs taikiniai. Automobiliams toliau tobulėjant, saugumas turi būti inovacijų priešakyje. Tikėkimės, kad „Kia“ ir visa pramonė pasimokys iš šio incidento, kad mūsų važiavimai skaitmeniniame amžiuje būtų saugūs.
SEKITE MUS ŠIANDIEN:
