2013년 이후에 생산된 모든 기아 차량을 원격에서 제어 할 수 있는 일련의 취약점을 발견되었습니다.
저자는 관련 내용을 작성후 9월 26일 X (구 트위터)로 알렸습니다.
https://twitter.com/samwcyo/status/1839297112066109671
9월 26일부터 관련 기사가 알려졌습니다.
. Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug (Wired, 2024.09.26)
https://www.wired.com/story/kia-web-vulnerability-vehicle-hack-track/
. 번호판 입력하면 '차량 원격제어' 가능…美서 기아車 해킹사건 (ZDNet, 2024.09.27)
https://zdnet.co.kr/view/?no=20240927110922
. 기아자동차의 일부 서비스에서 발견된 취약점, 차량 탈취로 이어질 뻔했다 (보안뉴스, 2024.09.29)
https://www.boannews.com/media/view.asp?idx=133232
. 요즘은 차 번호판만 찍으면 문딸 수 있음 (코딩애플)
https://www.youtube.com/watch?v=WwYl0ik2zDI
* 취약점
해킹 관련 보고서입니다.
. Hacking Kia: Remotely Controlling Cars With Just a License Plate
https://samcurry.net/hacking-kia
Kia Connect는 스마트폰 앱을 통해 원격으로 차량의 문을 잠그거나 열 수 있고 엔진을 시동할 수 있는 원격 제어 기능을 제공하며 실시간 교통 정보, Wi-Fi 핫스팟, 차량 상태 모니터링을 할 수 있습니다.
서버와 앱의 통신 과정을 변조해서 자동차를 제어하고, 피해자의 이름, 전화번호, 이메일 주소, 실제 주소를 포함한 개인 정보를 수집할 수 있는 취약점이 발견되었습니다.
기아 딜러 포털은 공인 기아 딜러가 고객 계정을 새 자동차의 VIN 번호와 일치 시킬 수 있는 곳이라고 합니다.
고객 계정의 경우 기아는 구매자에게 대리점의 이메일 주소를 요청하고 고객이 새 기아 계정을 설정하거나 새로 구입한 차량을 기존 기아 계정에 추가할 수 있는 해당 주소로 등록 링크를 보냅니다.
연구원들은 특별히 제작된 요청을 보내면 스스로 딜러 계정을 만들 수 있다는 것을 알아냈습니다.
좀 더 조작한 후에 그들은 이름, 전화번호, 이메일 주소와 같은 고객 데이터에 액세스할 수 있는 모든 딜러 엔드포인트에 액세스할 수 있었습니다.
보안 연구원들은 새로운 딜러로서 차량의 고유 식별자인 차량식별번호(VIN)로도 검색할 수 있었습니다.
연구원들은 적법한 소유자의 VIN 번호와 이메일 주소를 사용하여 차량 소유자를 강등시켜 자신을 기본 계정 소유자로 추가할 수 있었습니다.
* 사물인터넷 해킹의 미래는 ?!
모든 사물이 인터넷에 연결된다는 IoT 로 한창 붐이 있었습니다.
아직 완전히 자리잡지는 못했다고 생각했는데, 자동차도 앱으로 제어하고, 전자 제품도 제어하고 있습니다.
전자기기 해킹을 위해서는 기기 내부 시스템을 해킹하는 하드웨어 해킹에 가까운 연구가 필요하겠구나 생각했는데 이번같이 인증에서 문제가 발생할 수도 있습니다.
다른 인터넷에 연결되어 제어할 수 있는 전자기기도 비슷한 문제가 발생할 수 있는데 앞으로가 걱정입니다.
'Security > 보안 뉴스' 카테고리의 다른 글
레바논 헤즈볼라 무선 호출기 폭발 ... 사이버 공격 ? 공급망 공격 ? (10) | 2024.10.28 |
---|---|
사이버공격으로 가로등 오동작, 교통 시스템 마비 (12) | 2024.10.19 |
마이크로소프트 중국 지사에 아이폰 사용 지시 ... 아이폰의 보안성 좋음 때문은 아닌 듯 (5) | 2024.10.09 |
링크드인 (LinkedIn) 사용자 글 AI 학습 중 ... 원하지 않는다면 끄기 (8) | 2024.10.01 |
텔레그램 ... 앞으로 경찰에 협조 그리고 범죄자들의 이동 (2) | 2024.09.26 |