セキュリティ研究者のグループが起亜自動車のディーラーポータルに重大な欠陥を発見し、ハッカーが対象となる車のナンバープレートだけで、2013年以降に製造された数百万台の起亜自動車の位置を特定し、盗み出す可能性があることがわかった。
ほぼ2年前の2022年、セキュリティ研究者でバグ賞金稼ぎのサム・カリーを含むこのグループのハッカーの一部は、フェラーリ、BMW、ロールスロイス、ポルシェ、その他の自動車メーカー製の1500万台以上の車の位置を遠隔操作で特定し、スターターを無効にし、ロックを解除し、始動させることを犯罪者に許してしまうような、十数社の自動車会社に影響を与える他の重大な脆弱性を発見した。
本日カリーは、2024年6月11日に発見された起亜自動車のウェブポータルの脆弱性を悪用することで、遠隔ハードウェアを搭載した起亜自動車を、”起亜コネクトの契約が有効かどうかに関係なく “30秒以内に制御できる可能性があることを明らかにした。
この欠陥はまた、車の所有者の名前、電話番号、電子メールアドレス、物理的住所などの重要な個人情報を暴露し、攻撃者が所有者に気づかれることなく、対象となる車両に自分自身をセカンドユーザーとして追加することを可能にした可能性がある。
この問題をさらに実証するため、研究チームは、攻撃者が車両のナンバープレートを入力し、30秒以内に遠隔操作で車をロックまたはロック解除し、エンジンを始動または停止させ、クラクションを鳴らし、車両の位置を特定する方法を示すツールを構築した。
研究者はこの情報にアクセスするため、起亜自動車のディーラーポータルkiaconnect.kdealer.comにディーラーアカウントを登録した。
認証されると、有効なアクセストークンが生成され、バックエンドのディーラーAPIにアクセスできるようになり、車両の所有者に関する重要な詳細と、車のリモートコントロールへのフルアクセスが可能になった。
攻撃者はバックエンドのディーラーAPIを使用して以下のことが可能であることが判明した:
- ディーラー・トークンを生成し、HTTPレスポンスから取得する。
- 被害者の電子メールアドレスと電話番号へのアクセス
- 流出した情報を使用して所有者のアクセス許可を変更する。
- 攻撃者が管理する電子メールを被害者の車両に追加し、リモートコマンドを可能にする。
「HTTPレスポンスには、車両の所有者の名前、電話番号、メールアドレスが含まれていました。私たちは、通常のアプリの認証情報と変更されたチャネルヘッダを使用して、ディーラーポータルに認証することができました」とカリーは言った。
そこから、攻撃者はAPIを通じて車両のVIN(車両識別番号)を入力し、所有者が知らないうちにリモートで車を追跡したり、ロックを解除したり、始動させたり、クラクションを鳴らしたりすることができた。
起亜自動車のウェブポータルの欠陥は、カリー氏が説明するように、「被害者側からは、車両にアクセスされたことも、アクセス権限が変更されたことも通知されない」ため、車両への無言の不正アクセスを可能にしていた。
「これらの脆弱性はその後修正され、このツールはリリースされておらず、起亜チームはこれが悪意を持って悪用されたことはないと検証しています」とカリーは付け加えた。
Comments