해커, 번호판만 있는 기아차 원격 조종 가능

독립적인 사이버보안 전문가 그룹은 한국 자동차 제조업체인 기아차의 딜러 포털에서 일련의 심각한 취약점이 패치되었으며, 해당 취약점을 통해 위협 행위자가 2013년 이후 제작된 기아차의 번호판만을 사용하여 해당 차량의 주요 기능을 원격으로 제어할 수 있는 것으로 밝혀졌다고 공개했습니다.

 

보안 연구원인 Neiko Rivera, Justin Rhinehart, Ian Carroll, 유명 보안 연구원이자 버그 현상금 사냥꾼인 Sam Curry는 "이러한 공격은 Kia Connect 구독 여부와 관계없이 하드웨어가 장착된 모든 차량에서 약 30초 안에 원격으로 실행할 수 있습니다." 라고 말했습니다.

 

2024년 6월 11일에 발견된 이러한 결함으로 인해 자동차 소유자의 이름, 전화번호, 이메일 주소, 실제 주소 등 민감한 개인 정보가 노출되었습니다.

 

반응형

 

더불어, 공격자는 소유자의 허락 없이 피해자 차량에 자신을 보이지 않는 두 번째 사용자로 추가할 수도 있습니다.

연구원들은 취약점의 영향을 입증하기 위해 도구를 구축하고 잠긴 렌터카 기아차를 사용하여 개념 증명을 기록했습니다.

 

 

 

모르는 분들을 위해 말씀드리자면, 기아는 딜러 웹사이트를 이용해 새로 구매한 차량을 활성화하고 커넥티드 카 기능을 관리합니다.

 

연구원들은 "기아가 딜러십에서 고객의 이메일 주소를 묻고, 고객은 새로운 기아 계정을 등록하거나 새로 구매한 차량을 기존 기아 계정에 추가할 수 있는 등록 링크를 받게 된다는 사실을 알게 되었습니다."라고 말했습니다.

 

딜러 포털에 접근하기 위해 연구원들은 Kia의 kiaconnect.kdealer.com에 딜러 계정을 성공적으로 등록하고 로그인한 후 딜러 시스템에 대한 유효한 액세스 토큰을 얻었습니다.

 

토큰을 통해 백엔드 딜러 API에 액세스할 수 있었고, 이를 통해 딜러 토큰을 생성하고 HTTP 응답에서 "토큰" 헤더를 검색하고, 이메일 주소 및 전화번호와 같은 민감한 소유자 정보에 액세스하고, 유출된 이메일 주소와 VIN(차량 식별 번호)을 사용하여 소유자의 이전 액세스를 수정하고, 피해자의 차량에 공격자가 제어하는 ​​이메일을 추가하여 차량의 원격 제어 장치에 대한 완전한 액세스를 허용할 수 있었습니다.

 

300x250

 

"HTTP 응답에는 차량 소유자의 이름, 전화번호, 이메일 주소가 포함되어 있었습니다. 우리는 일반 앱 자격 증명과 수정된 채널 헤더를 사용하여 딜러 포털에 인증할 수 있었습니다." 연구원들이 지적했습니다.

 

"피해자 측에서는 차량에 접근했다는 알림도 없고 접근 권한도 수정되지 않았습니다. 공격자는 누군가의 번호판을 확인하고 API를 통해 VIN을 입력한 다음 수동적으로 추적하고 잠금 해제, 시동 또는 경적과 같은 능동적 명령을 보낼 수 있습니다."

 

연구원들은 2013년 이후 2025년 모델 연도까지 제작된 거의 모든 차량에 해킹을 수행했습니다. 여기에는 카니발, 포르테, K5, EV6, EV9, 니로, 스포티지, 셀토스, 쏘울, 소렌토, 세도나, 스팅어, 텔루라이드, 리오, 옵티마 등이 포함됩니다.

 

커리와 그의 동료 연구원들은 2024년 6월 11일에 기아 팀에 취약점을 책임감 있게 공개했고, 회사는 2024년 8월 14일에 이를 수정했습니다. 기아에 따르면, 이러한 취약점이 야생에서 악의적으로 악용되었다는 증거는 없습니다.

 

연구원들은 "자동차는 계속해서 취약성을 가질 것이다. Meta가 누군가가 당신의 Facebook 계정을 인수할 수 있는 코드 변경을 도입할 수 있는 것과 같은 방식으로, 자동차 제조업체는 당신의 차량에 대해서도 똑같은 일을 할 수 있기 때문이다"고 결론지었다.

 

*참조한 원본 글 https://www.techworm.net/2024/09/hackers-remotely-controlled-kia-cars-license-plates.html