Peretas dapat mengakses fitur mobil Kia hanya dengan pelat nomor
Serangan ini dapat dilakukan secara pasif hanya dengan melacak pelat nomor korban dan memanfaatkan API untuk mendapatkan VIN.
Sebuah celah keamanan yang ditemukan pada mobil Kia memungkinkan penyerang mengendalikan fungsi-fungsi penting kendaraan dari jarak jauh hanya dengan menggunakan pelat nomor. Kelemahan ini, yang telah diperbaiki oleh Kia, dapat dieksploitasi dalam waktu sekitar 30 detik pada kendaraan yang dilengkapi perangkat keras tertentu, bahkan jika mobil tersebut tidak memiliki keanggotaan Kia Connect yang aktif.
Dalam laporan yang dirilis oleh peneliti keamanan siber Sam Curry (29/9), celah ini memungkinkan penyerang mencuri informasi pribadi pemilik mobil, termasuk nama, nomor telepon, alamat email, dan alamat fisik. Informasi ini bisa digunakan untuk diam-diam menambahkan akun penyerang ke dalam sistem kendaraan sebagai pengguna kedua tanpa sepengetahuan pemilik asli.
Curry menjelaskan bahwa serangan ini dimulai ketika pemilik mobil baru diminta oleh dealer Kia untuk memberikan alamat email mereka, yang kemudian digunakan untuk mengirim tautan registrasi. Melalui tautan ini, pemilik dapat membuat akun Kia baru atau menambahkan kendaraan baru ke akun Kia yang sudah ada. Dalam proses tersebut, token akses yang disebut VIN Key dihasilkan oleh dealer, yang memungkinkan perubahan pada kendaraan yang terdaftar.
Peneliti menggunakan token dealer dan nomor VIN (Vehicle Identification Number) untuk membuat permintaan HTTP ke endpoint dealer, yang dalam tanggapan HTTP, menghasilkan informasi pribadi pemilik mobil, seperti nama dan email. Dengan informasi ini, penyerang dapat mengakses portal dealer dan mengirim empat permintaan HTTP untuk mengendalikan kendaraan korban, termasuk:
1. Menghasilkan token dealer dan mendapatkan token dari tanggapan HTTP.