الملايين من سيارات كيا عرضة للسرقة لهذا السبب
اكتشف مجموعة من الباحثين الأمنيين أن الثغرات الأمنية الموجودة في موقع ويب مخصص لأصحاب سيارات كيا ربما سمحت للمهاجمين بالتحكم عن بعد في ملايين السيارات.
ويوضح أحد الباحثين الأمنيين، سام كاري، أن هذه المشكلات ربما سمحت للمهاجمين بالتحكم في وظائف السيارة الرئيسية خلال 30 ثانية تقريبًا، باستخدام لوحة ترخيص السيارة فقط.
علاوة على ذلك، سمحت الأخطاء للمهاجمين بجمع المعلومات الشخصية للضحية، مثل الاسم والعنوان وعنوان البريد الإلكتروني ورقم الهاتف، وإنشاء مستخدم ثانٍ على السيارة، دون علم المالك.
واكتشف كاري وثلاثة باحثين آخرين أن موقع مالكي سيارات كيا يمكنه تنفيذ أوامر من الإنترنت إلى السيارة، وأنه يعتمد على الوكيل العكسي للواجهة الخلفية لإعادة توجيه الأوامر إلى واجهة برمجة التطبيقات المسؤولة عن تنفيذ الأوامر.
بينما قال الباحثون أيضًا أن البنية التحتية لوكلاء كيا لديها آلية مماثلة لطلبات الوكيل المتعلقة بالبحث عن السيارة، والبحث عن الحساب، وتسجيل السيارة، ووظائف الوكالة الأخرى.
وبعد التسجيل على موقع وكيل كيا يتم إرسال رابط إليه عبر البريد الإلكتروني إلى المستخدمين الجدد لأغراض التسجيل باستخدام نفس الطلب المستخدم عند التسجيل في بوابة المالكين، ويمكن للباحثين إنشاء رمز وصول يسمح لهم بالاتصال بالواجهة الخلفية واجهات برمجة التطبيقات للتاجر.
وتم إبلاغ كيا بالمشكلات في يونيو 2024، واعترفت شركة صناعة السيارات بالعيوب وبدأت العمل على الإصلاح الذي تم تنفيذه في منتصف أغسطس.
وفي غضون ذلك، قام الباحثون ببناء لوحة معلومات لإثبات المفهوم (PoC) تسمح للمهاجم بالكتابة على لوحة الترخيص، واسترداد المعلومات الشخصية للمالك، والبدء في تنفيذ الأوامر على السيارة.
ووفقا لكاري، يمكن استغلال الثغرات الأمنية لإرسال أوامر إلى أي سيارة كيا تم تصنيعها بعد عام 2013 تقريبًا.
