Milioni di auto prodotte da Kia a partire dal 2013 avrebbero potuto essere messe sotto controllo da hacker facendo leva su una vulnerabilità del suo sito web. Questa è la sconcertante scoperta fatta da un gruppo di ricercatori di sicurezza nel passato mese di giugno, a seguito della segnalazione ricevuta da un gruppo di White Hat Hacker (in pratica hacker etici).
La scoperta è stata da loro stessi definita sconvolgente e non certo a torto. La chiave che rende possibile il tutto è infatti effettivamente presente sul sito di Kia e apre possibilità sterminate ai malintenzionati. In particolare, mettendo a loro disposizione milioni di veicoli commercializzati nel corso dell’ultimo decennio. Dando luogo all’ennesima falla della sicurezza a carico di una casa che già da un paio d’anni sta mostrando grandi lacune sotto questo particolare aspetto.
Kia, una scoperta che ha destato grande sconcerto
Milioni di veicoli costruiti e commercializzati a partire dal 2013 avrebbero potuto essere rubati grazie ad una vulnerabilità presente nel sito di Kia. Questa la sconcertante scoperta fatta da un gruppo di ricercatori che includeva, tra gli altri, Sam Curry, Ian Carroll, Neiko Rivera e Justin Rhinehart.
Una scoperta fatta nel passato mese di giugno, rendendo evidente come qualsiasi malintenzionato sia praticamente in grado di ottenere il controllo del veicolo attaccato in un lasso temporale pari ad appena trenta secondi.
Al controllo del veicolo, peraltro, si andrebbe ad aggiungere anche quello sulle informazioni dei clienti, tra cui nome, numero di telefono, indirizzo e-mail e indirizzo di casa. Considerato come questi dati vengano spesso venduti sul Dark Web, la parte più oscura di Internet, per poi essere utilizzati per scopi criminali, la vicenda assume contorni ancora più gravi.
Kia, ora il problema è stato risolto
Sia l’attacco che la sua spiegazione comportano l’utilizzo di termini estremamente tecnici, che è stato Sam Curry a bypassare, spiegando sul suo sito web il modo in cui lui e i suoi colleghi sono stati in grado di registrarsi e di essere autenticati come concessionari. Operazione preliminare che ha fornito loro l’accesso al portale dei concessionari Kia.
Da lì, hanno presto capito come riuscire ad avere l’accesso alle informazioni dei clienti e diventare i titolari di account principali dei veicoli target. Per farlo è stato sufficiente procedere ad una modifica dell’indirizzo di posta elettronica collegato al veicolo in un account controllato dagli aggressori. Malwarebytes ha anche notato che avevano bisogno di VIN, quindi hanno utilizzato una “API di terze parti per convertire il numero di targa in un VIN”. Naturalmente il bug in questione è stato eliminato dal gruppo di ricerca.
In pratica, la conclusione è molto semplice: gli hacker intenzionati a sfruttare la vulnerabilità in oggetto, avrebbero potuto creare uno strumento in grado di bloccare e sbloccare da remoto i veicoli, avviarli e fermarli, nonché localizzarli. Ovvero, assumerne il totale controllo.
Quali sono i veicoli interessati
L’elenco dei veicoli interessati è molto lungo e va ad includere praticamente ogni singola Kia. Tra questi ci sono Seltos, Soul, Sorento, Sportage, Stinger e Telluride. Anche Forte, Niro, K5, EV6 ed EV9 sarebbero vulnerabili all’attacco.
Al tempo stesso, questi difetti interessano ogni modello in modo diverso, poiché non tutti i comandi possono essere eseguiti. Ad esempio, la Sorento LX del 2024 è vulnerabile agli attacchi in quanto cinque comandi su cinque possono essere eseguiti da remoto. Questi includono geolocalizzazione del veicolo, blocco e sblocco da remoto, avvio e arresto da remoto, clacson e luci da remoto e telecamera da remoto. Tutto ciò è possibile grazie alle vulnerabilità nel portale web di Kia.
Fortunatamente, la vulnerabilità è stata scoperta da hacker etici che hanno contattato Kia all’inizio di giugno. Kia ha risposto e ha iniziato a indagare, e alla fine sembra che la vulnerabilità sia stata risolta ad agosto. Dopo che il team ha condotto dei test per assicurarsi che il problema fosse stato effettivamente risolto, ha deciso di rendere pubbliche le proprie scoperte. Ha inoltre aggiunto che il loro strumento non è mai stato rilasciato e Kia ha stabilito che la vulnerabilità non è mai stata sfruttata in modo dannoso.