Pesquisadores de segurança conseguem hackear veículos da Kia utilizando apenas as placas dos carros

Segundo os especialistas, esses ataques poderiam ser executados remotamente em qualquer veículo com o hardware necessário em aproximadamente 30 segundos, independentemente da existência de uma assinatura ativa do Kia Connect.

A falha afeta quase todos os veículos fabricados após 2013, permitindo que invasores acessem, de maneira furtiva, informações sensíveis, como nome, número de telefone, e-mail e endereço físico da vítima. Esses dados poderiam ser usados para que o invasor se adicionasse como um “segundo usuário invisível” no carro, sem o conhecimento do proprietário.

A vulnerabilidade explora a infraestrutura da concessionária Kia usada para ativações de veículos, permitindo o registro de uma conta falsa por meio de uma solicitação HTTP. Em seguida, tokens de acesso são gerados e combinados com outra solicitação HTTP para um endpoint APIGW da concessionária, utilizando o número de identificação do veículo (VIN) para obter as informações confidenciais.

Isso possibilita a modificação do acesso anterior do proprietário, permitindo ao invasor se tornar o titular principal da conta, com a capacidade de executar comandos arbitrários, como destrancar, dar partida ou buzinar.

Os pesquisadores alertam que, do lado da vítima, não havia nenhuma notificação de que o veículo havia sido acessado ou que as permissões de acesso haviam sido alteradas.

Após a divulgação responsável em junho, a Kia corrigiu as falhas em 14 de agosto. Não há evidências de que essas vulnerabilidades tenham sido exploradas.

Informações mais detalhadas podem ser encontradas neste link: https://samcurry.net/hacking-kia