Nieuws
image

Onderzoekers konden miljoenen Kia's via webportaal overnemen

vrijdag 27 september 2024, 09:44 door Redactie, 5 reacties

Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen. Alleen het weten van het kentekennummer was voldoende voor de onderzoekers om de locatie van de auto te achterhalen, die te ontgrendelen en te starten. Kia heeft het probleem inmiddels verholpen.

Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.

De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.

In totaal ontdekten de onderzoekers vier HTTP-requests om toegang tot een KIA te krijgen. "De vier HTTP-requests waren te gebruiken om commando's naar bijna elke Kia te sturen die na 2013 is gemaakt, waarbij alleen het kentekennummer voldoende was", aldus de onderzoekers. Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.

"Kwetsbaarheden zullen aanwezig blijven in auto's, want net zoals Meta een code-aanpassing kan doorvoeren waardoor iemand je Facebookaccount kan kapen, kunnen autofabrikanten hetzelfde doen voor je voertuig", concluderen de onderzoekers. Kia werd in juni ingelicht en kwam uiteindelijk met een oplossing voor het beveiligingslek. De fabrikant stelt dat er geen misbruik van is gemaakt.

Image

Reacties (5)
Reageer met quote
Vandaag, 09:51 door majortom
Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
Ik mag hopen dat de dealers eerst toestemming aan hun klanten vragen voordat ze het voertuig aan een klantaccount koppelen. Sterker, ik mag hopen dat ze eerst toestemming vragen om een klantaccount aan te maken en dat ze dit niet automatisch als een soort van "service" doen.
Reageer met quote
Vandaag, 10:18 door Anoniem
Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Reageer met quote
Vandaag, 11:36 door majortom - Bijgewerkt: Vandaag, 11:38
Door Anoniem: Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Laat staan dat de veilgheid door deze snufjes niet altijd positief wordt bevorderd: het wemelt van de false positives en negatives bij deze snufjes (verkeersbordherkenning die de parallelweg neemt ipv de hoofdweg (of (matrix)borden mist), lane-assist die volkomen het spoor bijster raakt bij wegwerkzaamheden (waarbij je moet tegensturen om de auto op de weg te houden), dodehoek herkenning die een lantaarnpaal voor een auto aanziet, etc).

Aangezien dit soort "simpele" toepassingen nog niet eens foutloos kunnen, dan lijkt me de zelfrijdende auto helemaal een brug te ver, gezien de complexe en onverwachte verkeerssituaties die dan afgehandeld moeten worden. Snel uitzetten al die snufjes, zeker de snufjes die ingrijpen.
Reageer met quote
Vandaag, 12:48 door Anoniem
Door majortom:
Door Anoniem: Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Laat staan dat de veilgheid door deze snufjes niet altijd positief wordt bevorderd: het wemelt van de false positives en negatives bij deze snufjes (verkeersbordherkenning die de parallelweg neemt ipv de hoofdweg (of (matrix)borden mist), lane-assist die volkomen het spoor bijster raakt bij wegwerkzaamheden (waarbij je moet tegensturen om de auto op de weg te houden), dodehoek herkenning die een lantaarnpaal voor een auto aanziet, etc).

Aangezien dit soort "simpele" toepassingen nog niet eens foutloos kunnen, dan lijkt me de zelfrijdende auto helemaal een brug te ver, gezien de complexe en onverwachte verkeerssituaties die dan afgehandeld moeten worden. Snel uitzetten al die snufjes, zeker de snufjes die ingrijpen.

Over het laatste wat je schrijft (ik ben daar overigens ook voorstander van) vraag ik me af of de mogelijkheid tot deactiveren van al die ongevraagde snufjes wel gemakkelijk kan.
Ik herinner mij dat een collega een Volvo had, vraag me niet welk type want ik ben geen auto fanaat, waarvan de alarminstallatie nogal eens kuren had. Een paar kabeltjes lostrekken wat overigens door een dealer werd gedaan bleek niet voldoende. ze zijn daar, volgens zijn zeggen, meer dan een volle dag mee bezig geweest en wel met het volledig eruit slopen van de complete alarminstallatie omdat deze sterk verweven bleek met het volledige elektrische circuit van die auto.

Vandaar dat ik me voorstel dat uitprogrammeren van 'die snufjes' wel eens een heksentoer zou kunnen zijn omdat de fabrikant dat liever niet heeft. Nogal wat auto's 'communceren' tegenwoordig via Internet over van alles en nog wat.
Reageer met quote
Vandaag, 12:54 door Bitje-scheef
Dat was een feature hoor :-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure