Un groupe de chercheurs en sécurité a découvert des failles critiques dans le portail des concessionnaires Kia qui pourraient permettre aux pirates de localiser et de voler des millions de voitures Kia fabriquées après 2013 en utilisant uniquement la plaque d’immatriculation du véhicule ciblé.
Il y a près de deux ans, en 2022, certains des pirates informatiques de ce groupe, dont le chercheur en sécurité et chasseur de primes de bogues Sam Curry, ont découvert d’autres vulnérabilités critiques affectant plus d’une douzaine de constructeurs automobiles qui auraient permis aux criminels de localiser à distance, désactiver les démarreurs, déverrouiller et démarrer plus de 15 millions de véhicules fabriqués par Ferrari, BMW, Rolls Royce, Porsche et d’autres constructeurs automobiles.
Aujourd’hui, Curry a révélé que les vulnérabilités du portail Web Kia découvertes le 11 juin 2024 pouvaient être exploitées pour contrôler tout véhicule Kia équipé de matériel distant en moins de 30 secondes, « qu’il ait ou non un abonnement Kia Connect actif. »
Les failles ont également exposé les informations personnelles sensibles des propriétaires de voitures, notamment leur nom, leur numéro de téléphone, leur adresse électronique et leur adresse physique, et auraient pu permettre aux attaquants de s’ajouter en tant que deuxième utilisateur sur les véhicules ciblés à l’insu des propriétaires.
Pour mieux démontrer le problème, l’équipe a créé un outil montrant comment un attaquant pouvait entrer dans la plaque d’immatriculation d’un véhicule et, dans les 30 secondes, verrouiller ou déverrouiller à distance la voiture, la démarrer ou l’arrêter, klaxonner ou localiser le véhicule.
Les chercheurs ont enregistré un compte de concessionnaire sur Kia kiaconnect.kdealer.com portail des concessionnaires pour accéder à ces informations.
Une fois authentifiés, ils ont généré un jeton d’accès valide qui leur a donné accès aux API du concessionnaire principal, leur donnant des détails critiques sur le propriétaire du véhicule et un accès complet aux télécommandes de la voiture.
Ils ont découvert que les attaquants pouvaient utiliser l’API du revendeur principal pour:
- Générer un jeton de revendeur et le récupérer à partir de la réponse HTTP
- Accéder à l’adresse e-mail et au numéro de téléphone de la victime
- Modifier les autorisations d’accès du propriétaire à l’aide d’informations divulguées
- Ajoutez un e-mail contrôlé par l’attaquant au véhicule de la victime, permettant des commandes à distance
« La réponse HTTP contenait le nom, le numéro de téléphone et l’adresse e-mail du propriétaire du véhicule. Nous avons pu nous authentifier sur le portail des concessionnaires en utilisant nos identifiants d’application normaux et l’en-tête de canal modifié », a déclaré Curry.
À partir de là, les attaquants pouvaient entrer le NIV (numéro d’identification du véhicule) d’un véhicule via l’API et suivre à distance, déverrouiller, démarrer ou klaxonner la voiture à l’insu du propriétaire.
Les failles du portail Web Kia permettaient un accès silencieux et non autorisé à un véhicule puisque, comme Curry l’a expliqué, « du côté de la victime, il n’y avait aucune notification indiquant que son véhicule avait été consulté ni que ses autorisations d’accès avaient été modifiées. »
« Ces vulnérabilités ont depuis été corrigées, cet outil n’a jamais été publié et l’équipe Kia a validé qu’il n’avait jamais été exploité de manière malveillante », a ajouté Curry.