นักวิจัยด้านความปลอดภัยกลุ่มหนึ่งพบช่องโหว่ระดับ Critical ในพอร์ทัลตัวแทนจำหน่ายของ Kia ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา และขโมยรถยนต์ของ Kia ได้หลายล้านคัน ที่ผลิตภายหลังปี 2013 โดยใช้เพียงป้ายทะเบียนรถที่เป็นเป้าหมายเท่านั้น
ในปี 2022 แฮ็กเกอร์บางรายในกลุ่มนี้ และนักวิจัยด้านความปลอดภัยรวมไปถึง Sam Curry ผู้เชี่ยวชาญด้าน bug bounty จากการค้นหาช่องโหว่ ได้ค้นพบช่องโหว่ ระดับ Critical อื่น ๆ ที่ส่งผลกระทบต่อบริษัทผลิตรถยนต์กว่าสิบแห่ง ซึ่งทำให้ผู้โจมตีสามารถค้นหา และทำการปิดการทำงานของระบบสตาร์ทเครื่องยนต์, ปลดล็อก และสตาร์ทรถยนต์กว่า 15 ล้านคันที่ผลิตโดย Ferrari, BMW, Rolls Royce, Porsche และผู้ผลิตรถยนต์รายอื่น ๆ จากระยะไกลได้
Curry เปิดเผยว่า ช่องโหว่เว็บพอร์ทัลของ Kia ที่ค้นพบเมื่อวันที่ 11 มิถุนายน 2024 อาจถูกนำไปใช้เพื่อควบคุมรถยนต์ Kia ทุกคันจากระยะไกลได้ภายในเวลาไม่ถึง 30 วินาที "ไม่ว่าจะมีการสมัครสมาชิก Kia Connect หรือไม่ก็ตาม"
ช่องโหว่ดังกล่าวยังเปิดเผยข้อมูลส่วนบุคคลที่สำคัญของเจ้าของรถ รวมถึงชื่อ, หมายเลขโทรศัพท์, ที่อยู่อีเมล และที่อยู่ทางกายภาพ และอาจทำให้ผู้โจมตีสามารถเพิ่มตนเองเป็นผู้ใช้คนที่สองในรถที่เป็นเป้าหมายโดยที่เจ้าของรถอาจไม่รู้ตัว
เพื่อสาธิตปัญหานี้เพิ่มเติม ทีมงานจึงได้สร้างเครื่องมือที่แสดงให้เห็นว่าผู้โจมตีสามารถเข้าถึงป้ายทะเบียนรถยนต์ และทำการล็อก หรือปลดล็อกรถ, สตาร์ท หรือหยุดรถ, บีบแตร หรือระบุตำแหน่งรถยนต์ได้อย่างไรภายในเวลา 30 วินาที
นักวิจัยได้ลงทะเบียนบนพอร์ทัลตัวแทนจำหน่าย kiaconnect.kdealer.com ของ Kia เพื่อเข้าถึงข้อมูลนี้
เมื่อผ่านการตรวจสอบแล้ว จะมีการสร้างโทเค็นการเข้าถึง ซึ่งทำให้ผู้โจมตีสามารถเข้าถึง API ของตัวแทนจำหน่ายฝั่งแบ็กเอนด์ได้ โดยมีรายละเอียดที่สำคัญเกี่ยวกับเจ้าของรถ และสามารถเข้าถึงรีโมทคอนโทรลของรถได้อย่างสมบูรณ์
พบว่าผู้โจมตีสามารถใช้ API ของตัวแทนจำหน่ายแบ็กเอนด์เพื่อ
- สร้างโทเค็นตัวแทนจำหน่าย และดึงข้อมูลจาก HTTP response
- เข้าถึงที่อยู่อีเมล และเบอร์โทรศัพท์ของเหยื่อ
- แก้ไขสิทธิ์การเข้าถึงของเจ้าของโดยใช้ข้อมูลที่รั่วไหล
- เพิ่มอีเมลที่ควบคุมโดยผู้โจมตีลงในยานพาหนะของเหยื่อ เพื่อให้สามารถสั่งการจากระยะไกลได้
Curry ระบุว่า HTTP response มีข้อมูลชื่อเจ้าของรถ, หมายเลขโทรศัพท์ และที่อยู่อีเมล ผู้ใช้รถสามารถตรวจสอบสิทธิ์ในพอร์ทัลของตัวแทนจำหน่ายได้โดยใช้ข้อมูล app credentials และ modified channel header
โดยผู้โจมตีจะมีการป้อน VIN (หมายเลขประจำตัวรถ) ของรถยนต์ผ่านทาง API และติดตาม, ปลดล็อก, สตาร์ทรถ หรือบีบแตรรถจากระยะไกลโดยไม่ให้เจ้าของรถรู้ตัว
ช่องโหว่เว็บพอร์ทัลของ Kia ส่งผลให้ผู้โจมตีสามารถเข้าถึงรถยนต์ได้อย่างเงียบ ๆ ซึ่ง Curry อธิบายว่าในมุมของผู้เสียหายจะไม่มีการแจ้งเตือนว่ามีการเข้าถึงรถยนต์จากผู้อื่น รวมไปถึงไม่มีการแจ้งเตือนสิทธิ์ที่ถูกเปลี่ยนแปลง
Curry ระบุว่า ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว และเครื่องมือนี้ไม่เคยถูกเปิดเผย ซึ่งทีม Kia ได้ตรวจยืนยันแล้วว่าเครื่องมือนี้ไม่เคยถูกนำไปใช้ในทางที่ผิดแต่อย่างใด
ที่มา : bleepingcomputer
You must be logged in to post a comment.