En junio de 2024, los investigadores de seguridad descubrieron un conjunto de vulnerabilidades en el portal del concesionario Kia que les permitía hacerse cargo de forma remota de cualquier transporte Kia fabricado luego de 2013, y todo lo que necesitaban era un número de matrícula.
Según los investigadores:
“Estos ataques podrían ejecutarse de forma remota en cualquier transporte equipado con hardware en unos 30 segundos, independientemente de si tenía una suscripción activa a Kia Connect”.
¿Cómo fue esto posible?
Primero, es importante entender que el “portal de concesionarios” de Kia es donde los concesionarios Kia autorizados pueden relacionar las cuentas de los clientes con el número VIN de su automóvil nuevo. Para las cuentas de clientes, Kia solicitaría al comprador su dirección de correo electrónico en el concesionario y enviaría un enlace de registro a esa dirección donde el cliente podría configurar una nueva cuenta Kia o sumar su transporte recién comprado a una cuenta Kia existente.
Los investigadores descubrieron que enviando una solicitud especialmente diseñada podían crear una cuenta de distribuidor. Posteriormente de un poco más de manipulación, pudieron alcanzar a todos los puntos finales de los distribuidores, lo que les dio paso a datos de clientes como nombres, números de teléfono y direcciones de correo electrónico.
Como nuevo “distribuidor”, los investigadores de seguridad además pudieron apañarse por número de identificación del transporte (VIN), que es un identificador único de un transporte. Con el número VIN y la dirección de correo electrónico del propietario verdadero, los investigadores pudieron degradar al propietario del transporte para que pudieran agregarse como titulares principales de la cuenta.
Desafortunadamente, el propietario verdadero no recibiría ninguna notificación de que se había accedido a su transporte ni de que se habían modificado sus permisos de paso.
Pero para encontrar el número VIN de un automóvil necesitarás paso físico al transporte, ¿verdad? No del todo.
En varios países, incluidos EE. UU. y el Reino Unido, existen bases de datos de vehículos que puede consultar para obtener un número VIN basado en el número de placa. Los investigadores utilizaron una API de terceros para convertir el número de placa en un VIN.
Dependiendo del transporte y de si Kia Connect estaba activo, el titular principal de la cuenta puede sitiar/desbloquear, poner en marcha/detener, tocar la claxon y demarcar el transporte de forma remota.
Los investigadores crearon una útil de prueba de concepto en la que podían ingresar la matrícula y en dos pasos recuperar la información personal del propietario y luego ejecutar comandos remotos en el transporte.
Los investigadores revelaron responsablemente sus hallazgos a Kia, que desde entonces ha solucionado las vulnerabilidades encontradas por los investigadores. Kia aseguró que las vulnerabilidades no han sido explotadas de forma maliciosa.
Las vulnerabilidades en los automóviles no son nuevas. De hecho, los investigadores que encontraron estas vulnerabilidades lo hicieron como seguimiento de su investigación preliminar. Y con demasiada frecuencia nos encontramos con que los fabricantes de automóviles están más interesados en añadir nuevas características que en apuntalar las existentes. Por lo tanto, podemos esperar que se sigan descubriendo vulnerabilidades como estas y deberíamos alegrarnos de que estos investigadores decidieran revelar sus hallazgos y darle a Kia la oportunidad de corregir las vulnerabilidades ayer de revelarlas.
