Scoperte vulnerabilità nei veicoli KIA

Un team di esperti di sicurezza informatica, costituito da Sam Curry, Neiko Rivera, Justin Rhinehart e Ian Carroll, ha scoperto una serie di vulnerabilità critiche nei veicoli KIA. Queste falle di sicurezza permettevano di controllare da remoto funzioni chiave del veicolo utilizzando solo la targa.

Le vulnerabilità hanno interessato una vasta gamma di modelli KIA, tra cui Carnival 2025, K5, Seltos, Sorento, Soul, Sportage ed EV6.

Vale la pena notare che non è la prima volta che il team scopre vulnerabilità che compromettono la sicurezza delle auto connesse a Internet. Nel 2022 un’altra serie di difetti hanno interessato veicoli su oltre una dozzina di case automobilistiche.

I dettagli

I ricercatori hanno dimostrato che un attaccante poteva eseguire comandi da remoto su qualsiasi veicolo KIA prodotto dopo il 2013 in circa 30 secondi, indipendentemente dalla presenza di un abbonamento attivo a KiaConnect, l’app che consente un collegamento diretto alle vetture per diagnostica in tempo reale, controllo batteria, clima e geolocalizzazione.

Le azioni possibili includevano il blocco e sblocco delle porte, l’avvio e l’arresto del motore e persino l’accesso alla telecamera del veicolo.

Rischi per la privacy

Oltre al controllo del veicolo, le vulnerabilità permettevano agli attaccanti di ottenere informazioni personali come nome, numero di telefono, indirizzo e-mail e indirizzo fisico della vittima. Questo consentiva all’attaccante di aggiungersi come utente invisibile sul veicolo della vittima a sua insaputa.

KIAtool

Per dimostrare l’impatto di queste vulnerabilità, i ricercatori hanno implementato KIAtool (che non è mai stato divulgato pubblicamente specificano i ricercatori). Il tool prevede una pagina “exploit” che consente di prendere effettivamente il controllo dei veicoli e una pagina “garage” per impartire comandi e localizzarli.

L’obiettivo della nostra interfaccia utente PoC era semplicemente quello di avere una dashboard in cui un aggressore potesse (1) digitare la targa di un veicolo Kia, (2) recuperare le informazioni di identificazione personale (PII) del proprietario, quindi (3) eseguire comandi sul veicolo.”, spiega Sam Curry.

I ricercatori hanno scoperto che si poteva accedere al veicolo di una vittima eseguendo quattro richieste HTTP e comandi Internet-to-vehicle.

https://samcurry.net/hacking-kia

Il video mostra come i ricercatori siano riusciti a prendere il controllo di un veicolo KIA usando lo strumento installato su di uno smartphone, per poi essere in grado di bloccare/sbloccare, avviare/fermare, suonare il clacson e localizzare il veicolo da remoto.

https://samcurry.net/hacking-kia

Implicazioni e risoluzione

Fortunatamente, le vulnerabilità sono state risolte e il team di KIA ha confermato che non sono mai state sfruttate in modo malevolo.

Questa scoperta mette in luce l’importanza di implementare misure di sicurezza informatica robuste nei veicoli moderni per proteggerli contro potenziali minacce. Infatti le autovetture sono sempre più smart e cariche di informazioni che necessitano di protezione.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.