Pokročilá moderná doba si vyžaduje pokročilejšie a modernejšie systémy. Obzvlášť to platí pri našich štvorkolesových miláčikoch, pri ktorých už výrobcovia nevedia čo vymyslieť, aby nám vytvorili nebotyčný komfort. Ukazuje sa však, že nie každá funkcia vie byť len prínosná. Ba čo viac. Hneď niekoľko takýchto vymožeností dokážu zneužiť zlomyseľní ľudia a v najhoršom prípade nám auto ukradnúť.

Tentokrát hovoríme o aplikáciách, ktoré automobilky vyvinuli, aby sme naše automobily mohli ovládať na diaľku. Povedzme, že také sci-fi dneška: počas mrazivého rána vodič cez appku zapne kúrenie a nemusí ísť fyzicky do auta. Keď tam príde, interiér má príjemnú teplotu. Portál Insdieevs poukázal na chybu, ktorou disponovala automobilka Kia.

Vystavené napospas hackerom

Automobilka Kia potichu odstránila obrovskú bezpečnostnú chybu, ktorá umožňovala zlodejom „ovládnuť“ akékoľvek vozidlo tejto značky vyrobené po roku 2013. Najdesivejšie na celom prípade je to, že útočníkom stačilo len špeciálne rozhranie a poznávacia značka vytipovaného vozidla.

Hoci bola táto donebavolajúca zraniteľnosť už opravená, ide o jeden zo stoviek alarmujúcich prípadov, ktorý upozorňuje na slabé miesta v kybernetickej bezpečnosti prepojených automobilov.

Ale poďme pekne poporiadku. Sam Curry, uznávaný bezpečnostný výskumník objavil túto vážnu chybu v systéme Kia Connect. Tento systém umožňuje majiteľom vozidiel pohodlne ovládať niektoré funkcie svojich áut, ako je napríklad odomykanie dverí alebo naštartovanie vozidla na diaľku. Curry však prišiel na spôsob, ako túto službu zneužiť na diaľkové ovládanie akéhokoľvek modelu Kia vyrobeného po roku 2013.

Chyba sa nachádzala v aplikačnom programovacom rozhraní (API) predajcov Kia, ktoré umožňuje komunikáciu medzi aplikáciami. Curry zistil, že s využitím rozhrania KDealer, určeného pre predajcov, je možné získať token relácie – virtuálne povolenie na prístup k vozidlu. Prostredníctvom API tretej strany následne dokázal pomocou poznávacej značky získať identifikačné číslo vozidla (VIN) a tak simulovať autentifikovaného predajcu.

Nebezpečné dôsledky

Táto zraniteľnosť predstavovala viacero hrozieb. Útočník mohol na diaľku odomknúť a naštartovať auto len s využitím poznávacej značky, čo je zásadná bezpečnostná slabina. Navyše, mohlo dôjsť aj k úniku osobných údajov, ako sú meno majiteľa, telefónne číslo, e-mail a poloha vozidla. V niektorých prípadoch mali útočníci prístup dokonca aj ku kamerám nainštalovaným vo vozidlách.

Našťastie, Kia na tento problém zareagovala promptne. Curry chybu bezprostredne nahlásil v júni 2024 a automobilka problém vyriešila v priebehu dvoch mesiacov. Podľa dostupných informácií nemala byť táto zraniteľnosť zneužitá, a teda nedošlo k reálnemu poškodeniu vozidiel či krádežiam.

Lekcia do budúcna

Prípad Kia poukazuje na širší problém v automobilovom priemysle, a to nárast kybernetických hrozieb v súvislosti s prepojenými autami. V súčasnosti sú mnohé vozidlá vybavené internetovými službami, ktoré zjednodušujú život majiteľov, no zároveň otvárajú dvere pre hackerov. Kybernetická bezpečnosť prepojených áut sa tak stáva nevyhnutnosťou, na ktorú musia automobilky reagovať ešte intenzívnejšie.

Aj keď Kia vyriešila tento konkrétny problém, je jasné, že zraniteľnosti podobného typu budú aj naďalej výzvou pre automobilky, ktorým záleží na bezpečnosti svojich zákazníkov.