Investigadores de seguridad han descubierto fallos críticos en los vehículos Kia que facilitarían a los ciberdelincuentes el control remoto de funciones clave simplemente con su matrícula.
Un equipo de expertos formado por Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll descubrió múltiples vulnerabilidades en los coches de esta marca fabricados después de 2013.
Los investigadores demostraron cómo hacer el ataque en solo 30 segundos ante cualquier automóvil de la firma nipona equipado con hardware, independientemente de su estado de suscripción a Kia Connect.
Los atacantes podrían hacerse en secreto con información personal, como el nombre, número de teléfono, el correo electrónico y la dirección física de la víctima. Así, el actor de amenazas lograría agregarse como un segundo usuario oculto en el vehículo de la víctima sin su conocimiento.
“Creamos una herramienta para demostrar el impacto de estas vulnerabilidades, en las que un atacante podría simplemente ingresar la matrícula de un vehículo Kia y luego ejecutar comandos en el vehículo después de unos 30 segundos”, ha detallado Curry.
“Desde entonces, estas vulnerabilidades se han solucionado, esta herramienta nunca se lanzó y el equipo de Kia ha validado que nunca se explotó de manera maliciosa", ha aclarado.
El investigador y sus colegas ha explicado que se han centrado en la página owners.kia.com y en la aplicación móvil de iOS Kia Conntect, ya que ambas herramientas podrían ejecutar comandos de Internet al vehículo, según recoge Security Affairs.
Una solicitud HTTP de ejemplo demostró cómo el sitio web envía una solicitud API para desbloquear la puerta de un automóvil.
Cuidado con los tokens
Los investigadores también analizaron cómo Kia realizaba las activaciones de vehículos para las nuevas compras. Descubrieron que Kia enviaba un enlace de registro a las direcciones de email de los clientes, lo que les permitía registrar su coche o agregarlo a su cuenta de Kia.
Al inspeccionar el enlace, los expertos notaron el uso de un dominio previamente desconocido, kiaconnect.kdealer.com , utilizado para gestionar las nuevas matriculaciones de vehículos mediante un token y un número de VIN.
Otro estudio posterior reveló que los sistemas de concesionarios mandaban las solicitudes de manera similar a cómo lo hacía el sitio owners.kia.com. De esa manera los cibermalos solo tenían que registrarse como comerciantes para generar un token de aceso válido. Así, creaban una cuenta, iniciaban sesión y obtenían un token de sesión.
Este equipo de investigadores no es la primera vez que ofrece un hallazgo sobre vulnerabilidades en coches. En 2022 también informaron de un conjunto de brechas relativas a más de una docena de fabricantes de automóviles.