Un recente rapporto di esperti di cybersecurity ha svelato una serie di vulnerabilità critiche nelle auto Kia, che avrebbero potuto permettere a malintenzionati di controllare da remoto le principali funzioni del veicolo, utilizzando semplicemente la targa. Fortunatamente, queste falle di sicurezza sono state risolte da Kia il 14 agosto 2024, ma l’impatto potenziale che avrebbero potuto avere è impressionante.
Secondo il rapporto dei ricercatori Neiko Rivera, Sam Curry, Justin Rhinehart e Ian Carroll, gli attacchi potevano essere eseguiti in soli 30 secondi su qualsiasi veicolo dotato dell’hardware necessario, indipendentemente dall’attivazione di un abbonamento a Kia Connect. Le vulnerabilità coinvolgevano praticamente tutti i veicoli Kia prodotti dopo il 2013, consentendo non solo il controllo remoto del veicolo, ma anche l’accesso a dati sensibili come il nome del proprietario, numero di telefono, email e indirizzo fisico.
In uno scenario ipotetico, un hacker avrebbe potuto inserire la targa di un veicolo Kia in una dashboard personalizzata, ottenere informazioni sensibili sulla vittima e successivamente eseguire comandi come sbloccare, avviare o far suonare il clacson del veicolo, tutto in pochi secondi. La vittima non avrebbe ricevuto alcuna notifica né dell’accesso non autorizzato né della modifica delle autorizzazioni del veicolo. I ricercatori hanno anche sottolineato che, sebbene Kia abbia prontamente risolto il problema, “le auto continueranno ad avere vulnerabilità“. Come per i social che possono introdurre modifiche al codice e compromettere gli account degli utenti, anche i veicoli, sempre più connessi, possono essere esposti a questi rischi.
L’attacco alle auto Kia nel dettaglio
L’exploit principale sfruttava l’infrastruttura dei concessionari Kia (kiaconnect.kdealer[.]com), utilizzata per attivare i veicoli. Gli aggressori potevano registrarsi con un account falso tramite una semplice richiesta HTTP, ottenendo dei token di accesso. Utilizzando questi token e il numero di identificazione del veicolo (VIN), gli attaccanti erano in grado di accedere ai dati personali del proprietario del veicolo. Inoltre, era possibile modificare l’accesso al veicolo e aggiungere un secondo utente invisibile senza che il proprietario ne fosse a conoscenza. In soli quattro passaggi, un malintenzionato poteva:
- Generare il token del concessionario e ottenere l’header “token”.
- Recuperare l’email e il numero di telefono della vittima.
- Modificare l’accesso del proprietario utilizzando l’email e il VIN.
- Aggiungere un nuovo utente sotto il controllo dell’attaccante come proprietario principale, permettendo di inviare comandi al veicolo.
Lo stesso Sam Curry ha fatto una video prova dell’attacco, pubblicandola su YouTube. Le falle di sicurezza evidenziate dai ricercatori sono state affrontate in modo tempestivo e, ad oggi, non ci sono prove che siano state sfruttate. Tuttavia, questo caso evidenzia quanto sia importante prestare attenzione alla cybersecurity non solo nel mondo digitale, ma anche in quello dei veicoli connessi, che continuano a diventare sempre più integrati con la nostra vita quotidiana.