2013년 이후에 생산된 모든 기아 차량을 원격에서 제어 할 수 있는 일련의 취약점을 발견되었습니다.
저자는 관련 내용을 작성후 9월 26일 X (구 트위터)로 알렸습니다.
https://twitter.com/samwcyo/status/1839297112066109671
X의 Sam Curry님(@samwcyo)
New writeup from @_specters_ and I: we're finally allowed to disclose a vulnerability reported to Kia which would've allowed an attacker to remotely control almost all vehicles made after 2013 using only the license plate. Full disclosure: https://t.co/e2E
x.com
9월 26일부터 관련 기사가 알려졌습니다.
. Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug (Wired, 2024.09.26)
https://www.wired.com/story/kia-web-vulnerability-vehicle-hack-track/
Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug
Researchers found a flaw in a Kia web portal that let them track millions of cars, unlock doors, and start engines at will—the latest in a plague of web bugs that’s affected a dozen carmakers.
www.wired.com
. 번호판 입력하면 '차량 원격제어' 가능…美서 기아車 해킹사건 (ZDNet, 2024.09.27)
https://zdnet.co.kr/view/?no=20240927110922
번호판 입력하면 '차량 원격제어' 가능…美서 기아車 해킹사건
한 사이버 보안 연구원들이 기아가 미국에서 운영하는 웹사이트의 결함을 찾아냈다. 차량 번호판과 해당 주를 입력하면 수백만대의 차량을 원격 제어할 수 있게 된다.26일(현지시간) 와이어드,
zdnet.co.kr
. 기아자동차의 일부 서비스에서 발견된 취약점, 차량 탈취로 이어질 뻔했다 (보안뉴스, 2024.09.29)
https://www.boannews.com/media/view.asp?idx=133232
기아자동차의 일부 서비스에서 발견된 취약점, 차량 탈취로 이어질 뻔했다
지난 6월 11일, 기아자동차의 차량들에서 위험한 취약점이 발견됐다. 차량의 하드웨어 구성이 어떻게 되어 있든 30초만에 원격으로 차량 내 주요 소프트웨어 기능들을 제어할 수 있게 해 주는 취
www.boannews.com
. 요즘은 차 번호판만 찍으면 문딸 수 있음 (코딩애플)
https://www.youtube.com/watch?v=WwYl0ik2zDI
* 취약점
해킹 관련 보고서입니다.
. Hacking Kia: Remotely Controlling Cars With Just a License Plate
https://samcurry.net/hacking-kia
Hacking Kia: Remotely Controlling Cars With Just a License Plate
On June 11th, 2024, we discovered a set of vulnerabilities in Kia vehicles that allowed remote control over key functions using only a license plate. These attacks could be executed remotely on any hardware-equipped vehicle in about 30 seconds, regardless
samcurry.net
Kia Connect는 스마트폰 앱을 통해 원격으로 차량의 문을 잠그거나 열 수 있고 엔진을 시동할 수 있는 원격 제어 기능을 제공하며 실시간 교통 정보, Wi-Fi 핫스팟, 차량 상태 모니터링을 할 수 있습니다.
서버와 앱의 통신 과정을 변조해서 자동차를 제어하고, 피해자의 이름, 전화번호, 이메일 주소, 실제 주소를 포함한 개인 정보를 수집할 수 있는 취약점이 발견되었습니다.
기아 딜러 포털은 공인 기아 딜러가 고객 계정을 새 자동차의 VIN 번호와 일치 시킬 수 있는 곳이라고 합니다.
고객 계정의 경우 기아는 구매자에게 대리점의 이메일 주소를 요청하고 고객이 새 기아 계정을 설정하거나 새로 구입한 차량을 기존 기아 계정에 추가할 수 있는 해당 주소로 등록 링크를 보냅니다.
연구원들은 특별히 제작된 요청을 보내면 스스로 딜러 계정을 만들 수 있다는 것을 알아냈습니다.
좀 더 조작한 후에 그들은 이름, 전화번호, 이메일 주소와 같은 고객 데이터에 액세스할 수 있는 모든 딜러 엔드포인트에 액세스할 수 있었습니다.
보안 연구원들은 새로운 딜러로서 차량의 고유 식별자인 차량식별번호(VIN)로도 검색할 수 있었습니다.
연구원들은 적법한 소유자의 VIN 번호와 이메일 주소를 사용하여 차량 소유자를 강등시켜 자신을 기본 계정 소유자로 추가할 수 있었습니다.
* 사물인터넷 해킹의 미래는 ?!
모든 사물이 인터넷에 연결된다는 IoT 로 한창 붐이 있었습니다.
아직 완전히 자리잡지는 못했다고 생각했는데, 자동차도 앱으로 제어하고, 전자 제품도 제어하고 있습니다.
전자기기 해킹을 위해서는 기기 내부 시스템을 해킹하는 하드웨어 해킹에 가까운 연구가 필요하겠구나 생각했는데 이번같이 인증에서 문제가 발생할 수도 있습니다.
다른 인터넷에 연결되어 제어할 수 있는 전자기기도 비슷한 문제가 발생할 수 있는데 앞으로가 걱정입니다.
'Security > 보안 뉴스' 카테고리의 다른 글
| 마이크로소프트 중국 지사에 아이폰 사용 지시 ... 아이폰의 보안성 좋음 때문은 아닌 듯 (5) | 2024.10.09 |
|---|---|
| 링크드인 (LinkedIn) 사용자 글 AI 학습 중 ... 원하지 않는다면 끄기 (8) | 2024.10.01 |
| 텔레그램 ... 앞으로 경찰에 협조 그리고 범죄자들의 이동 (2) | 2024.09.26 |
| 북한 IT 인력 위장 취업 주의 ... 원격 근무자 채용 문제 (15) | 2024.09.25 |
| 보안 인력 연봉 1억부터 시작 ? ... 미국 얘기일 뿐 (0) | 2024.08.28 |