Sigurnosni propusti u povezanim vozilima: KIA hakirana u 30 sekundi
Istraživači su otkrili da se kroz propust u KIA-inom web portalu mogla preuzeti kontrola nad većinom novih KIA modela. Hakeri su mogli locirati vozilo, otključati ga, upaliti sirenu ili čak pokrenuti motor na daljinu, i to samo uz poznavanje registarske oznake automobila.
Istraživači su konstruirali alat za demonstraciju ranjivosti gdje bi napadač jednostavno mogao unijeti registarsku oznaku KIA-inog vozila, a zatim izvršavati naredbe na vozilu nakon otprilike 30 sekundi. Ove ranjivosti su u međuvremenu otklonjene. Istraživači kažu da alat nikada nije javno objavljen, a KIA tim je potvrdio da se nikada nije zlonamjerno koristio.
Ovi napadi mogli su se izvesti na daljinu na bilo kojem vozilu opremljenom odgovarajućim hardverom, bez obzira na to je li imalo aktivnu pretplatu na Kia Connect. Detalji o tome kako je ovo hakiranje istraživača izvedeno, pročitajte ovdje.
KIA popravila propust
Iako je KIA brzo reagirala na upozorenje istraživača i popravila ovaj konkretni propust, slični problemi pronađeni su i kod drugih proizvođača poput Acure, Genesisa, Honde, Hyundaija, Infinitija i Toyote. Ovo ukazuje na širi problem u automobilskoj industriji, gdje se zanemaruje sigurnost web sustava.
Mogli bi trubiti unedogled
Rizici ovih propusta su višestruki. Osim potencijalne krađe vozila, posebno kod jeftinijih modela, postoji opasnost od narušavanja privatnosti vlasnika praćenjem lokacije vozila ili pristupom osobnim podacima. Također, zlonamjerni pojedinci mogli bi zloupotrijebiti pristup sustavima za uznemiravanje vlasnika, primjerice stalnim paljenjem sirene.
Slučaj KIA-e i drugih proizvođača jasno pokazuje da automobilska industrija mora ozbiljno shvatiti izazove web sigurnosti. Budućnost automobilske industrije nesumnjivo leži u povezanim vozilima, ali ta povezanost mora biti sigurna za korisnike. Proizvođači moraju ulagati u snažne sigurnosne mjere kako bi zaštitili svoje kupce i održali povjerenje u svoje proizvode.
