No te vamos a descubrir nada que no sepas si te decimos que los coches cada vez están más interconectados y ofrecen más controles remotos para que sus usuarios puedan llevar a cabo diversas operaciones y consultas sin necesidad de tener su vehículo presente. Pero eso también tiene unas implicaciones en materia de seguridad al tener más vectores de ataque.
Pues bien, recientemente un grupo de investigadores de ciberseguridad descubrieron múltiples vulnerabilidades en los vehículos Kia con funciones de control remoto que permitían ser hackeados en tan sólo 30 segundos haciendo uso únicamente de su matrícula.
En concreto, las vulnerabilidades fueron descubiertas durante el mes de Junio y permitían hackear cualquier Kia dotado del hardware para estar permanentemente conectado, con independencia de que tuviesen una suscripción Kia Connect con el fabricante surcoreano.
En la página donde explican cómo lo lograron en detalle se puede ver a nivel técnico cómo lograron explotar cada una de las vulnerabilidades, pero en esencia, lo que consiguieron es registrarse como un concesionario para lograr acceso al portal de concesionario y través de ahí, poder acceder a la información de los clientes así como hacerse con el control de las cuentas de los vehículos, algo que lograban cambiando el correo electrónico asignado al vehículo por el de ellos. Para poder hacerse con el vehículo únicamente con la matrícula, en la aplicación desarrollada por ellos, cuando introducían la matrícula se enviaba a un proveedor externo y este devolvía el número de bastidor correspondiente a la misma, empleándose este último para tomar el control del mismo.
Afortunadamente, los investigadores reportaron la vulnerabilidad a Kia en Junio antes de hacerla pública y el fabricante procedió a investigarla y parchearla en el mes de Agosto, procediendo después estos primeros a la publicación con todos los detalles pormenorizados de las vulnerabilidades encontradas. Además, ellos han confirmado que no llegaron a distribuir la aplicación que se ve en el vídeo y Kia confirmó que no se llegó a explotar por parte de otros actores maliciosos.
Más información: Samcurry
