Demostren poder controlar cotxes Kia a distància tan sols amb el número d'identificació

Un error de seguretat en una pàgina web que permet prendre el control de qualsevol dels milions de cotxes de la marca Kia construïts després del 2013 tan sols introduint-ne el número de bastidor.

En tan sols 30 segons, un atacant podia bloquejar o desbloquejar les portes del cotxe, encendre'n o apagar-ne el motor, abaixar-ne finestretes, tocar el clàxon, localitzar-ne la ubicació exacta o extreure tota la informació disponible sobre el seu conductor.

El descobriment el va fer un grup d'investigadors en ciberseguretat que han explicat els detalls de la seva recerca en un article, amb demostracions incloses. 

En un vídeo, els investigadors demostren com les vulnerabilitats descobertes els van portar a fer una senzilla aplicació, que van anomenar KIAtool, que els permetia escriure el número de xasis del cotxe, prendre'n el control i, a continuació, desbloquejar-ne les portes per accedir-hi:

Cotxes connectats, cotxes hackejats

Un dels responsables del descobriment, Sam Curry, explica que fa uns dos anys, un grup de hackers i ell assistien a una conferència de ciberseguretat i, pel camí, van descobrir que podien hackejar uns patinets elèctrics aparcats per fer-los sonar el clàxon i encendre les llums al mateix temps, des del telèfon.

Quan van adonar-se que la majoria de cotxes connectats tenien funcions similars, van decidir posar a prova la seguretat de diferents marques.

En van fer un article (Hackers Web contra la indústria de l'automòbil) que demostrava, un cop més, que connectar qualsevol producte a internet l'acosta una mica més a permetre el seu control a distància per part de qualsevol que ho vulgui intentar.

More car hacking!

Earlier this year, we were able to remotely unlock, start, locate, flash, and honk any remotely connected Honda, Nissan, Infiniti, and Acura vehicles, completely unauthorized, knowing only the VIN number of the car.

Here's how we found it, and how it works: pic.twitter.com/ul3A4sT47k

— Sam Curry (@samwcyo) November 30, 2022

Seguint amb la seva investigació, l'11 de juny de 2024, en Sam Curry i els seus companys van descobrir un "conjunt de vulnerabilitats" en vehicles Kia que permetien el seu control remot, en funcions clau, tan sols indicant-ne el número i aprofitant-se de permisos d'accés que es donaven a través de pàgines web oficials de l'empresa.

A més, i amb la mateixa facilitat, un ciberdelinqüent podria haver obtingut informació personal de la víctima (nom, número de telèfon, adreça de correu electrònic, adreça física...) i es podria haver afegit com a usuari secundari sense que el conductor principal se n'arribés a adonar mai. 

Curiosament, aquestes vulnerabilitats no requerien que el cotxe tingués una subscripció activa a Kia Connect, el producte de la marca que, asseguren, permet "accedir a opcions en remot que milloren l'experiència" de ser propietari d'un dels seus cotxes "amb seguretat i comoditat". Si el cotxe en disposa del maquinari corresponent, com milions dels seus vehicles, ja era suficient. 

Des que els investigadors van descobrir els problemes de seguretat, van desenvolupar una eina per demostrar-los i ho van comunicar a l'empresa, aquests problemes ja s'han solucionat i ja no poden ser explotats en l'actualitat.

Kia assegura que cap atacant maliciós va arribar a aprofitar-se dels problemes de seguretat ja detectats i solucionats.

Tanmateix, els cotxes connectats han quedat retratats de nou com una porta d'entrada a múltiples tipus d'atacs de ciberseguretat i es torna a posar en entredit que es faci prou per protegir-los.