Un team di esperti di sicurezza informatica, costituito da Sam Curry, Neiko Rivera, Justin Rhinehart e Ian Carroll, ha scoperto una serie di vulnerabilità critiche nei veicoli KIA. Queste falle di sicurezza permettevano di controllare da remoto funzioni chiave del veicolo utilizzando solo la targa.
Le vulnerabilità hanno interessato una vasta gamma di modelli KIA, tra cui Carnival 2025, K5, Seltos, Sorento, Soul, Sportage ed EV6.
Vale la pena notare che non è la prima volta che il team scopre vulnerabilità che compromettono la sicurezza delle auto connesse a Internet. Nel 2022 un’altra serie di difetti hanno interessato veicoli su oltre una dozzina di case automobilistiche.
I dettagli
I ricercatori hanno dimostrato che un attaccante poteva eseguire comandi da remoto su qualsiasi veicolo KIA prodotto dopo il 2013 in circa 30 secondi, indipendentemente dalla presenza di un abbonamento attivo a KiaConnect, l’app che consente un collegamento diretto alle vetture per diagnostica in tempo reale, controllo batteria, clima e geolocalizzazione.
Le azioni possibili includevano il blocco e sblocco delle porte, l’avvio e l’arresto del motore e persino l’accesso alla telecamera del veicolo.
Rischi per la privacy
Oltre al controllo del veicolo, le vulnerabilità permettevano agli attaccanti di ottenere informazioni personali come nome, numero di telefono, indirizzo e-mail e indirizzo fisico della vittima. Questo consentiva all’attaccante di aggiungersi come utente invisibile sul veicolo della vittima a sua insaputa.
KIAtool
Per dimostrare l’impatto di queste vulnerabilità, i ricercatori hanno implementato KIAtool (che non è mai stato divulgato pubblicamente specificano i ricercatori). Il tool prevede una pagina “exploit” che consente di prendere effettivamente il controllo dei veicoli e una pagina “garage” per impartire comandi e localizzarli.
“L’obiettivo della nostra interfaccia utente PoC era semplicemente quello di avere una dashboard in cui un aggressore potesse (1) digitare la targa di un veicolo Kia, (2) recuperare le informazioni di identificazione personale (PII) del proprietario, quindi (3) eseguire comandi sul veicolo.”, spiega Sam Curry.
I ricercatori hanno scoperto che si poteva accedere al veicolo di una vittima eseguendo quattro richieste HTTP e comandi Internet-to-vehicle.
Il video mostra come i ricercatori siano riusciti a prendere il controllo di un veicolo KIA usando lo strumento installato su di uno smartphone, per poi essere in grado di bloccare/sbloccare, avviare/fermare, suonare il clacson e localizzare il veicolo da remoto.
Implicazioni e risoluzione
Fortunatamente, le vulnerabilità sono state risolte e il team di KIA ha confermato che non sono mai state sfruttate in modo malevolo.
Questa scoperta mette in luce l’importanza di implementare misure di sicurezza informatica robuste nei veicoli moderni per proteggerli contro potenziali minacce. Infatti le autovetture sono sempre più smart e cariche di informazioni che necessitano di protezione.