This post is also available in:
English (אנגלית)
חוקרי אבטחה חשפו סדרה של חולשות המשפיעות על כלי רכב של חברת קיה שיוצרו לאחר 2013, ועלולות לאפשר להאקרים לקבל גישה לא מורשית למידע אישי רגיש ולשלוט בפונקציות של כלי רכב מרחוק. התגלית המדאיגה הזו, בהובלת ההאקר סם קארי וצוותו, מדגישה פערי אבטחה משמעותיים העלולים לסכן את ביטחונם של מיליוני בעלי קיה.
בשנת 2022, החוקרים הראו כי ניתן לגשת לפונקציות מפתח של כלי רכב של קיה – כגון נעילה, פתיחה, הנעה ועצירה – רק באמצעות הקשת מספר לוחית הרישוי של הרכב. יכולת שליטה מרחוק זו מעוררת חששות כבדים, שכן שחקנים זדוניים יכולים לבצע תקיפות תוך 30 שניות בלבד, ללא קשר לכך שלבעל הרכב יש מנוי פעיל של קיה.
לאחר שנפרצו, האקרים יכלו לא רק לגנוב את הרכב, אלא גם לגשת לנתונים אישיים, כולל שמות, מספרי טלפון, כתובות דואר אלקטרוני וכתובות פיזיות. יתר על כן, הם יכולים לבסס את עצמם כמשתמש נוסף ברכב של הקורבן בלי שיזהו אותם, מה שעשוי להחריף את הסיכונים הקשורים לחולשות אלה.
צוות המחקר פיתח כלי בשם KIATool כדי להמחיש את מידת האיום. הדגמה ב-YouTube מראה עד כמה קל לתוקף לנצל את החולשה. על-ידי הזנת לוחית הרישוי של הרכב לתוך היישום, התוקף יכול לבצע פקודות הפותחות את נעילת המכונית בתוך רגעים. הכלי מאפשר שליטה מרחוק מלאה, כולל פונקציות כמו מיקום גיאוגרפי, נעילה מרחוק והפעלה.
קארי פירט את המודלים והשנים הספציפיים שנפגעו, עם רמות שונות של רגישות. לדוגמה, ה-Sorento LX 2024 נמצא רגיש במיוחד, ומאפשר להאקרים לבצע את כל חמש הפקודות הגדולות מרחוק.
על פי דיווחים של Wired ו-Cybernews, חולשות אלה עלולות להשאיר מיליוני כלי רכב של קיה חשופים לפריצה ולמעקב. למרבה המזל, קיה טיפלה מאז בנושא, וה-KIATool לא פורסם באופן פומבי.
אירוע זה מהווה תזכורת ברורה לחשיבות אבטחת הסייבר בתעשיית הרכב, שם חולשות דיגיטליות עלולות להוביל לסיכונים אישיים וכספיים משמעותיים לבעלי רכב.
