Kia repareert beveiligingslek: hackers konden auto’s overnemen
Hackers hoefden hiervoor alleen het kenteken van de Kia op te geven in de systemen van het automerk. Vervolgens kregen ze op afstand toegang tot privileges die normaliter alleen beschikbaar zijn voor Kia-dealers. Dat meldt beveiligingsonderzoeker Sam Curry, die het lek in de online registratietool van Kia ontdekte.
Misbruik van dealertoegang
Via dat webportaal kon de onderzoeker zichzelf toegang verschaffen tot de privileges van Kia-dealers. Deze toegang kon Curry vervolgens misbruiken om API-calls uit te voeren die alleen beschikbaar zijn voor dealers; het ophalen van voertuiggegevens en informatie over de eigenaar van de wagen is daar één van. Die gegevens – de naam, het e-mailadres en het telefoonnummer van de eigenaar van de auto – konden vervolgens misbruikt worden om de accounteigenaar te wijzigen.
Dat is de laatste stap in het proces om controle te krijgen over de auto. Met toegang tot het Kia-account kan een hacker commando’s versturen om de locatie bij te houden, deuren te openen, de motor te starten (en uit te zetten) én in sommige gevallen de camera’s te activeren. Volgens de onderzoekers is dit mogelijk op Kia’s met een hardwarepakket. Een zogeheten Connect-abonnement, waarmee de wagens van Kia internettoegang krijgen om bijvoorbeeld muziek te streamen via Spotify, was hiervoor niet vereist, aldus Curry.
Alle Kia’s geproduceerd na 2013
Volgens de onderzoeker zijn alle Kia’s die sinds 2013 zijn geproduceerd kwetsbaar voor dit type aanval. Die komen namelijk allemaal met zo’n hardwarepakket. Wat het lek zo ernstig maakt, is het gemak waarmee het uitgebuit kan worden. Curry zegt dat de aanval al na 30 seconden slaagt. De onderzoeker ontwierp daarvoor zelfs een tool waarmee je kentekens van Kia-wagens omzet in de VIN-nummers.
Voor eigenaren van een Kia is er gelukkig goed nieuws. De Koreaanse automaker heeft het lek in zijn website namelijk gedicht. Hierdoor is het niet mogelijk om toegang te krijgen tot de privileges van dealers, zoals de API-calls die zij kunnen uitvoeren. Het automerk zegt na onderzoek dat het lek nooit is misbruikt. Gezien het lek aan de websitekant is gedicht, hoeven auto’s niet bijgewerkt te worden om de kwetsbaarheid te voorkomen.