Các nhà nghiên cứu an ninh mạng đã tiết lộ một loạt lỗ hổng đã được vá trong các xe Kia, nếu khai thác thành công có thể cho phép kẻ tấn công điều khiển từ xa các chức năng chính của ô tô bằng cách sử dụng biển số xe.
Các nhà nghiên cứu bảo mật Neiko Rivera, Sam Curry, Justin Rhinehart và Ian Carroll cho biết: "Những cuộc tấn công này có thể được thực hiện từ xa trên bất kỳ phương tiện nào được trang bị phần cứng trong khoảng 30 giây, bất kể phương tiện đó có đăng ký Kia Connect hay không".
Các vấn đề này ảnh hưởng đến hầu hết các loại xe được sản xuất sau năm 2013, thậm chí cho phép kẻ tấn công bí mật truy cập vào thông tin nhạy cảm bao gồm tên, số điện thoại, địa chỉ email và địa chỉ thực của nạn nhân.
Về cơ bản, kẻ gian có thể lợi dụng điều này để lén lút thêm mình vào vị trí người dùng thứ hai trên xe mà chủ xe không hề hay biết.
Điểm mấu chốt của nghiên cứu là các vấn đề này khai thác cơ sở hạ tầng đại lý Kia ("kiaconnect.kdealer.com") được sử dụng để kích hoạt xe để đăng ký tài khoản giả thông qua yêu cầu (request) HTTP và sau đó tạo mã xác thực (access token).
Sau đó, token được sử dụng kết hợp với và số định danh xe (VIN) trong một yêu cầu HTTP khác gửi đến APIGW endpoint của đại lý để lấy tên, số điện thoại và địa chỉ email của chủ xe.
Hơn nữa, các nhà nghiên cứu phát hiện ra rằng có thể truy cập vào xe của nạn nhân thông qua gửi các yêu cầu HTTP và thực hiện các lệnh từ internet đến xe.
- Tạo token và lấy tiêu đề "token" từ phản hồi HTTP bằng phương pháp đã đề cập ở trên
- Lấy địa chỉ email và số điện thoại của nạn nhân
- Sửa đổi quyền truy cập trước đó của chủ sở hữu bằng cách sử dụng địa chỉ email bị rò rỉ và số VIN để thêm kẻ tấn công làm chủ tài khoản chính
- Thêm kẻ tấn công vào xe của nạn nhân bằng cách thêm địa chỉ email do họ kiểm soát với tư cách là chủ sở hữu chính của xe, từ đó cho phép thực thi các lệnh tùy ý.
Các nhà nghiên cứu chỉ ra rằng: "Về phía nạn nhân, không có thông báo nào cho biết xe của họ đã bị xâm nhập hay quyền truy cập của họ đã bị thay đổi".
"Kẻ tấn công có thể phân giải biển số xe của ai đó, nhập VIN của họ thông qua API, sau đó theo dõi họ và gửi các lệnh như mở khóa, khởi động hoặc bấm còi".
Trong một kịch bản tấn công giả định, kẻ xấu có thể nhập biển số xe Kia vào bảng điều khiển tùy chỉnh, lấy thông tin của nạn nhân rồi thực hiện lệnh trên xe sau khoảng 30 giây.
Sau khi được báo cáo vào tháng 6 năm 2024, Kia đã giải quyết các lỗ hổng kể từ ngày 14 tháng 8 năm 2024. Không có dấu hiệu nào cho thấy những lỗ hổng này từng bị khai thác trong thực tế.
Nguồn: thehackernews.com.
Tín nhiệm mạng | HP đã chặn một chiến dịch email bao gồm một phần mềm độc hại được phát tán bởi một công cụ dropper do AI tạo ra.
Tín nhiệm mạng | Các phiên bản giả mạo của các ứng dụng Android hợp pháp liên quan đến Spotify, WhatsApp và Minecraft đã được sử dụng để phát tán phiên bản mới phần mềm độc hại Necro. Một số ứng dụng độc hại cũng đã được tìm thấy trên Google Play Store, chúng đã được tải xuống tổng cộng 11 triệu lần
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) đã được phát hiện, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Tín nhiệm mạng | CISA đã thêm 05 lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), bao gồm một lỗ hổng thực thi mã từ xa ảnh hưởng đến Apache HugeGraph-Server.
Tín nhiệm mạng | GitLab đã phát hành bản vá bảo mật mới để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến Community Edition (CE) và Enterprise Edition (EE) dẫn đến việc bỏ qua xác thực.
Tín nhiệm mạng | Theo những phát hiện mới từ Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào Phần mềm kế toán FOUNDATION.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
