Onderzoekers konden miljoenen Kia's via webportaal overnemen

In dit artikel:

Een kwetsbaarheid in het dealerportaal van Kia stelde onderzoekers in staat om miljoenen voertuigen van de fabrikant te compromitteren met enkel het kentekennummer. Deze loophole, ontdekt door onderzoekers, maakte het mogelijk om de locatie van de auto te traceren, deze te ontgrendelen en te starten. Kia Connect, een systeem dat eigenaars in staat stelt om hun auto op afstand te bedienen via een app, vereist dat een voertuigidentificatienummer (VIN) aan een account wordt gekoppeld.

Door zich als dealer te registreren met behulp van een HTTP-request ontworpen voor Kia-eigenaren, konden de onderzoekers persoonlijke informatie van eigenaren inzien. Hierdoor konden ze de eigendom van de auto overnemen en deze via de app bedienen. In totaal vonden ze vier specifieke HTTP-requests die gebruik konden worden om commando's naar vrijwel elk model van Kia dat na 2013 was geproduceerd, te sturen. De eigenaren ontvingen geen melding dat hun auto was benaderd of dat hun toegangsrechten waren gewijzigd.

De onderzoekers benadrukken dat beveiligingskwetsbaarheden bij voertuigen een blijvend probleem zijn, vergelijkbaar met de risico's die sociale mediaplatforms als Facebook lopen. Kia werd in juni op de hoogte gebracht van het probleem en heeft inmiddels een oplossing geïmplementeerd, waarmee gezegd wordt dat er geen misbruik van de situatie heeft plaatsgevonden.