Peneliti keamanan siber telah mengungkap serangkaian kerentanan yang kini telah ditambal dalam kendaraan Kia yang, jika berhasil dieksploitasi, dapat memungkinkan kendali jarak jauh atas fungsi-fungsi utama hanya dengan menggunakan pelat nomor saja.
“Serangan ini dapat dilakukan dari jarak jauh pada kendaraan apa pun yang dilengkapi perangkat keras dalam waktu sekitar 30 detik, terlepas dari apakah kendaraan tersebut memiliki langganan Kia Connect yang aktif,” kata peneliti keamanan Neiko Rivera, Sam Curry, Justin Rhinehart, dan Ian Carroll.
Masalah tersebut memengaruhi hampir semua kendaraan yang dibuat setelah tahun 2013, bahkan memungkinkan penyerang secara diam-diam memperoleh akses ke informasi sensitif termasuk nama, nomor telepon, alamat email, dan alamat fisik korban.
Pada dasarnya, hal ini kemudian dapat disalahgunakan oleh penyerang untuk menambahkan diri mereka sebagai pengguna kedua yang “tidak terlihat” pada mobil tanpa sepengetahuan pemiliknya.
Inti dari penelitian ini adalah bahwa masalah tersebut mengeksploitasi infrastruktur dealer Kia (“kiaconnect.kdealer[.]com”) digunakan untuk aktivasi kendaraan guna mendaftarkan akun palsu melalui permintaan HTTP, lalu menghasilkan token akses.
Token tersebut kemudian digunakan bersama dengan permintaan HTTP lain ke titik akhir APIGW dealer dan nomor identifikasi kendaraan (VIN) mobil untuk mendapatkan nama, nomor telepon, dan alamat email pemilik kendaraan.
Terlebih lagi, para peneliti menemukan bahwa akses ke kendaraan korban dapat dilakukan dengan mudah, cukup dengan mengirimkan empat permintaan HTTP, dan kemudian menjalankan perintah internet-ke-kendaraan –
- Hasilkan token dealer dan ambil header “token” dari respons HTTP menggunakan metode yang disebutkan di atas
- Ambil alamat email dan nomor telepon korban
- Ubah akses pemilik sebelumnya menggunakan alamat email yang bocor dan nomor VIN untuk menambahkan penyerang sebagai pemegang akun utama
- Tambahkan penyerang ke kendaraan korban dengan menambahkan alamat email di bawah kendali mereka sebagai pemilik utama kendaraan, sehingga memungkinkan untuk menjalankan perintah sewenang-wenang
“Dari pihak korban, tidak ada pemberitahuan bahwa kendaraan mereka telah diakses atau izin akses mereka diubah,” kata para peneliti.
“Seorang penyerang dapat mengetahui plat nomor kendaraan seseorang, memasukkan VIN mereka melalui API, lalu melacak mereka secara pasif dan mengirimkan perintah aktif seperti membuka kunci, menyalakan, atau membunyikan klakson.”
Dalam skenario serangan hipotetis, pelaku kejahatan dapat memasukkan pelat nomor kendaraan Kia di dasbor khusus, mengambil informasi korban, lalu menjalankan perintah pada kendaraan setelah sekitar 30 detik.
Setelah pengungkapan yang bertanggung jawab pada bulan Juni 2024, kelemahan tersebut telah diatasi oleh Kia pada tanggal 14 Agustus 2024. Tidak ada bukti bahwa kerentanan ini pernah dieksploitasi secara luas.
“Mobil akan terus memiliki kerentanan, karena sama seperti Meta yang dapat memperkenalkan perubahan kode yang memungkinkan seseorang mengambil alih akun Facebook Anda, produsen mobil dapat melakukan hal yang sama untuk kendaraan Anda,” kata para peneliti.