Nieuws
image

Onderzoekers konden miljoenen Kia's via webportaal overnemen

vrijdag 27 september 2024, 09:44 door Redactie, 9 reacties

Een kwetsbaarheid in een dealerportaal van Kia maakte het mogelijk om miljoenen auto's van de fabrikant over te nemen. Alleen het weten van het kentekennummer was voldoende voor de onderzoekers om de locatie van de auto te achterhalen, die te ontgrendelen en te starten. Kia heeft het probleem inmiddels verholpen.

Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.

De onderzoekers ontdekten dat ze zich via het HTTP-request waarmee Kia-eigenaren zich bij de autofabrikant kunnen registreren zich ook als dealer kunnen registreren. Vervolgens was het mogelijk om via de dealerportaal informatie van Kia-eigenaren op te vragen, zoals naam, telefoonnummer en e-mailadres. Daarna konden de onderzoekers de eigenaar onteigenen en zichzelf eigenaar van de betreffende Kia maken en zo via de app bedienen.

In totaal ontdekten de onderzoekers vier HTTP-requests om toegang tot een KIA te krijgen. "De vier HTTP-requests waren te gebruiken om commando's naar bijna elke Kia te sturen die na 2013 is gemaakt, waarbij alleen het kentekennummer voldoende was", aldus de onderzoekers. Eigenaren kregen geen bericht dat er toegang tot de auto was verkregen of dat hun toegangspermissies waren aangepast.

"Kwetsbaarheden zullen aanwezig blijven in auto's, want net zoals Meta een code-aanpassing kan doorvoeren waardoor iemand je Facebookaccount kan kapen, kunnen autofabrikanten hetzelfde doen voor je voertuig", concluderen de onderzoekers. Kia werd in juni ingelicht en kwam uiteindelijk met een oplossing voor het beveiligingslek. De fabrikant stelt dat er geen misbruik van is gemaakt.

Image

Reacties (9)
Reageer met quote
27-09-2024, 09:51 door majortom
Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Klanten moeten zich daarnaast via een aparte klantensite bij de autofabrikant registreren.
Ik mag hopen dat de dealers eerst toestemming aan hun klanten vragen voordat ze het voertuig aan een klantaccount koppelen. Sterker, ik mag hopen dat ze eerst toestemming vragen om een klantaccount aan te maken en dat ze dit niet automatisch als een soort van "service" doen.
Reageer met quote
27-09-2024, 10:18 door Anoniem
Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Reageer met quote
27-09-2024, 11:36 door majortom - Bijgewerkt: 27-09-2024, 11:38
Door Anoniem: Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Laat staan dat de veilgheid door deze snufjes niet altijd positief wordt bevorderd: het wemelt van de false positives en negatives bij deze snufjes (verkeersbordherkenning die de parallelweg neemt ipv de hoofdweg (of (matrix)borden mist), lane-assist die volkomen het spoor bijster raakt bij wegwerkzaamheden (waarbij je moet tegensturen om de auto op de weg te houden), dodehoek herkenning die een lantaarnpaal voor een auto aanziet, etc).

Aangezien dit soort "simpele" toepassingen nog niet eens foutloos kunnen, dan lijkt me de zelfrijdende auto helemaal een brug te ver, gezien de complexe en onverwachte verkeerssituaties die dan afgehandeld moeten worden. Snel uitzetten al die snufjes, zeker de snufjes die ingrijpen.
Reageer met quote
27-09-2024, 12:48 door Anoniem
Door majortom:
Door Anoniem: Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
Laat staan dat de veilgheid door deze snufjes niet altijd positief wordt bevorderd: het wemelt van de false positives en negatives bij deze snufjes (verkeersbordherkenning die de parallelweg neemt ipv de hoofdweg (of (matrix)borden mist), lane-assist die volkomen het spoor bijster raakt bij wegwerkzaamheden (waarbij je moet tegensturen om de auto op de weg te houden), dodehoek herkenning die een lantaarnpaal voor een auto aanziet, etc).

Aangezien dit soort "simpele" toepassingen nog niet eens foutloos kunnen, dan lijkt me de zelfrijdende auto helemaal een brug te ver, gezien de complexe en onverwachte verkeerssituaties die dan afgehandeld moeten worden. Snel uitzetten al die snufjes, zeker de snufjes die ingrijpen.

Over het laatste wat je schrijft (ik ben daar overigens ook voorstander van) vraag ik me af of de mogelijkheid tot deactiveren van al die ongevraagde snufjes wel gemakkelijk kan.
Ik herinner mij dat een collega een Volvo had, vraag me niet welk type want ik ben geen auto fanaat, waarvan de alarminstallatie nogal eens kuren had. Een paar kabeltjes lostrekken wat overigens door een dealer werd gedaan bleek niet voldoende. ze zijn daar, volgens zijn zeggen, meer dan een volle dag mee bezig geweest en wel met het volledig eruit slopen van de complete alarminstallatie omdat deze sterk verweven bleek met het volledige elektrische circuit van die auto.

Vandaar dat ik me voorstel dat uitprogrammeren van 'die snufjes' wel eens een heksentoer zou kunnen zijn omdat de fabrikant dat liever niet heeft. Nogal wat auto's 'communceren' tegenwoordig via Internet over van alles en nog wat.
Reageer met quote
27-09-2024, 12:54 door Bitje-scheef
Dat was een feature hoor :-)
Reageer met quote
28-09-2024, 10:10 door Anoniem
Kia biedt bij verschillende modellen Kia Connect, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten.
Eh, moet je dat überhaupt willen? Ik snap dat het (als het nieuw en nog niet doodnormaal is) heel cool is dat je zoiets kan, maar heeft het ook nog een functie die opweegt tegen de risico's die de hele keten aan IT-systemen die erbij komt kijken oplevert?

Dit illustreert iets. Auto's zijn veilige dingen, ze moeten aan indrukwekkend zware eisen voldoen om passagiers te beschermen als er iets heftigs misgaat. Waarom doen autofabrikanten dat wel en maken ze van IT een potje? Omdat het een wettelijk vereist wordt en het ander niet, en dan krijgen heel makkelijk marketingmotieven de overhand.

Marktwerking vangt dat niet op. Marktwerking vereist dat de koper de kwaliteit kan beoordelen, en je ziet wel makkelijk aan een appel of er een rotte plek in zit maar aan razend complexe moderne technologie die je ver boven je pet gaat zie je dat echt niet meer. Je kan je zelfs afvragen of de verkoper hier de kwaliteit wel weet te beoordelen van dit soort snufjes. En dan bedoel ik de fabrikant, van de tussenpersoon waar je de auto feitelijk van koopt weet ik wel zeker dat die er geen kaas van heeft gegeten.
Reageer met quote
28-09-2024, 12:05 door Anoniem
Door Anoniem: Gelukkig bestaat er een ruime voorraad oldtimers die je kan kopen want voor mij geen moderne snufjes in mijn auto. Ik haat het al dat mijn VW de achter ruitenwisser automatisch aanzet als ik de voorruit wissers al aan heb staan. Ik heb daar niet om gevraagd, ik kan prima zelf de achter ruitenwisser aanzetten als ik die nodig heb. Ik mot al die bemoeienis van een auto niet. Om nog maar te zwijgen over de verplichte snelheid piepjes en toestanden die je tegenwoordig hebt die je bij elke rit opnieuw uit moet zetten. Daarbij denk ik dat oudere auto's steeds waardevoller gaan worden want ik denk dat ik niet de enige bent die al die moderne sh!t niet willen in hun auto.
En dat terwijl die "moderne shit" het juist mogelijk maakt om dit soort zaken te configureren!
Alleen je krijgt als klant (helaas) niet de software die nodig is om die configuratie te veranderen, en bij de dealer moet je maar net de medewerker treffen die het een interessante klus vindt om daar eens in te duiken en de auto helemaal naar de zin van de klant te maken (zonder die meteen een gepeperde rekening voor te schotelen).
Allerlei gedrag van moderne auto's is configureerbaar, omdat het per land verschilt wat er gewenst, verplicht, of verboden is.
Zo moest je al jaren geleden in bepaalde landen altijd met licht aan rijden, terwijl dit in andere landen aangeraden werd.
Maar een auto die in Zweden verkocht werd die had dus al altijd het licht aan, terwijl dat hier pas veel later gekomen is.
En hier was het (volgens mij) eerst alleen aan de voorkant, en nu ook aan de achterkant.
Ook zaken als "zet je de richtingaanwijzer aan voor je de motor uit zet dan blijft het licht aan 1 kant aan" (parkeerlicht) dat kun je meestal configureren.
Maar meestal dus niet "via de app" maar via een tool wat de dealer heeft en niet uit handen geeft.
Reageer met quote
29-09-2024, 08:29 door Anoniem
Kern van het probleem: die klant is helemaal geen eigenaar van die auto meer. Die mag er soms in rijden...
Reageer met quote
30-09-2024, 07:06 door Anoniem
Bij Volkswagen (VAG groep) is nagenoeg alles uit te programmeren met VCDS. Dus ook geen vervelende piepjes of een auto die, veel te snel, remt als je volgens de auto te dicht op je voorganger tuft. Connect app nog nooit gebruikt, grote onzin.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure