به گزارش بازار، محققان در رابطه با این موضوع اعلام کرده اند که بیشتر این خودروها ساخت بعد از سال ۲۰۱۳ هستند. چنین کشفی را باید مهم دانست، زیرا کلیدی که در قسمت عقب روی سپر نصب شده، در این زمینه بسیار موثر است.
این آسیبپذیری در ماه ژوئن توسط گروهی از محققان که شامل سم کوری، ایان کارول، نیکو ریورا و جاستین راینهارت میشد، کشف شده است. آسیبپذیری موردنظر به هکرها این امکان را میدهد تا کنترل وسایل نقلیه را ظرف ۳۰ ثانیه بدست گیرند. گذشته از آن، این آسیبپذیری برخی اطلاعات مشتریان نظیر نام، شماره تلفن، آدرس ایمیل و آدرس خانه را در دسترس هکرها قرار میدهد.
توضیح درباره چگونگی حمله هکری از این روش بسیار دشوار است. با این حال سم کوری در وب سایت خود توضیح داد که آنها توانستند به عنوان یک فروشنده ثبت نام کرده و احراز هویت کنند، که دسترسی آنها به پورتال فروشنده کیا را فراهم میکرد. با این روش، آنها متوجه شدند که چگونه به اطلاعات مشتری دسترسی پیدا کنند و به یک”دارنده حساب اصلی” وسایل نقلیه هدف تبدیل شوند. این روش تا حدودی با تغییر آدرس ایمیل متصل به وسیله نقلیه به حسابی که توسط مهاجمان کنترل میشود، انجام گرفت. Malwarebytes یادآور شد که باید به VIN دسترسی داشت، بنابراین از یک API شخص ثالث برای تبدیل شماره پلاک خودرو به VIN استفاده شده است.
شایان ذکر بوده که این نسخه CliffNotes است، اما نکته اصلی این بوده که هکرها میتوانند ابزاری برای باز و بسته کردن قفل وسایل نقلیه به صورت ریموت، حرکت و توقف خودروها و همچنین مکان یابی آنها بهوجود آورند. بنابراین یک دسترسی کامل برای آنها خواهد بود.
فهرست خودروهایی که تحت تاثیر این حفره امنیتی هستند، بلند بالا است و تقریباً تمام مدلهای کیا را دربرمیگیرد. از جمله آنها باید به سلتوس، سول، سورنتو، اسپرتیج، استینگر و تلوراید اشاره کرد. البته خودروهایی چون Forte، Niro، K۵، EV۶ و EV۹ نیز در برابر این حمله هکری آسیبپذیر بودند.
خوشبختانه، کیا شانس آورد و این آسیبپذیری توسط هکرهای خوب کشف شد و به سرعت آنها این مسئله را در اوایل ژوئن به کیا اطلاع دادند. کیا پاسخ داد و تحقیقات را آغاز کرد و در نهایت، ماه آگوست به این آسیبپذیری پرداخته شد. پس از اینکه تیم آزمایشهایی را برای اطمینان از رفع مشکل انجام داد، تصمیم گرفته شد که یافتههای خود را به صورت عمومی اعلام کنند. آنها افزودند که ابزار اصلی آنها هرگز افشا نشده و این شرکت تشخیص داد که آسیبپذیری موردنظر هرگز به طور مخرب مورد سوء استفاده قرار نگرفته است.
source