Xavfsizlik mutaxassislari Kia dilerlik portalidagi jiddiy zaifliklarni aniqlashdi, bu esa kiberjinoyatchilarga ushbu markadagi mashinalarni jimgina o’g’irlash imkonini beradi. Topilgan zaifliklar tufayli 2013 yildan keyin ishlab chiqarilgan har qanday Kia modelini faqatgina mashinaning davlat raqami asosida buzish mumkin.

Birinchi marta 2022 yilda xavfsizlik mutaxassislari, jumladan, “zaifliklarni izlovchi”(bug hunter) Sem Karri o’nlab avtomobil brendining raqamli tizimlarida jiddiy xavfsizlik bo’shliqlari borligini aniqladilar. O’shanda bu zaifliklar kiberjinoyatchilarga Ferrari, BMW, Rolls Royce va Porsche kabi premium brendlarning 15 milliondan ortiq avtomobilini masofadan turib topish, blokirovka qilish, qulfini ochish va hatto dvigatelini ishga tushirish imkonini berardi.

Bu safar Karri joriy yilning 11 iyunida Kia Connect portalidagi zaifliklar Kia Connect masofadan boshqarish tizimi faollashtirilmagan bo’lsa ham, har qanday masofadan boshqarish tizimiga ega Kia avtomobiliga kirish imkonini berishini aytdi.

Bundan tashqari, zaifliklar avtomobil egalarining shaxsiy ma’lumotlarini, jumladan, ism, telefon raqami, elektron pochta manzili va uy manzilini oshkor qiladi. Kiberjinoyatchilar o’zlarini mashina egalarining roziligisiz tizimga ikkinchi foydalanuvchi sifatida qo’shish imkoniyatiga ega edilar.

Muammoni namoyish etish uchun tadqiqotchilar jamoasi faqatgina davlat raqami yordamida avtomobillarni “virtual garajiga” qo’shish va keyin ularni masofadan turib blokirovka qilish, qulfini ochish, ishga tushirish yoki to’xtatish, signal berish yoki xaritada topish imkonini beruvchi vosita yaratdi.

Kia dilerlik portaliga (“kiaconnect.kdealer.com”) ulanib, mutaxassislar imtiyozli hisob qaydnomasi ro’yxatdan o’tkazishdi va amalda ishlaydigan kirish tokenini yaratdilar. Ushbu token dilerlik bek-end API-siga kirish imkonini berib, avtomobil egalari haqida muhim ma’lumotlarni taqdim etadi va mashinalarning masofadan boshqarish funksiyalari ustidan to’liq nazoratni ta’minladi.

Kiberjinoyatchilar ushbu API-dan quyidagi imkoniyatlar uchun foydalanishlari mumkin edi:

• Diler tokenini yaratish va uni HTTP javobidan olish;
• Avtomobil egasining elektron pochta manzili va telefon raqamini olish;
• Olingan ma’lumotlardan foydalanib, kirish huquqlarini o’zgartirish;
• O’zlarining elektron pochta manzilini avtomobil hisob qaydnomasiga qo’shib, mashinani masofadan turib boshqarish.

Aniqlangan zaifliklar tufayli avtomobilga ruxsatsiz kirishni yashirincha amalga oshirilishi mumkin edi, chunki egasiga buzilish haqida hech qanday xabarnoma yuborilmaydi va kirish huquqlari o’zgartirilgani haqida ogohlantirilmaydi.

Shunga qaramay, barcha zaifliklar allaqachon tuzatilgan. Karri ta’kidlashicha, buzilishni namoyish etuvchi vosita hech qachon tarmoqda e’lon qilinmagan va Kia kompaniyasi aniqlangan kamchiliklar yovuz niyatlarda ishlatilmaganligini tasdiqladi.