Investigadores de seguridad descubrieron vulnerabilidades críticas en el portal de concesionarios de Kia, las cuales podrían haber permitido a los atacantes controlar remotamente millones de vehículos Kia fabricados después de 2013. Estas fallas fueron detectadas en junio de 2024 y afectaban a cualquier automóvil con hardware remoto, incluso si no estaba suscrito al servicio Kia Connect. Con solo conocer la matrícula del vehículo, los atacantes podrían localizar, bloquear, desbloquear, encender o apagar el auto, y acceder a información sensible del propietario, como nombre, dirección y número de teléfono.
Los atacantes podían registrar una cuenta en el portal de concesionarios de Kia, generar un token de acceso válido y, utilizando las API internas del concesionario, obtener control sobre el vehículo sin que el propietario lo supiera. Además, podían agregarse como usuarios secundarios del vehículo, lo que les permitía ejecutar comandos remotos sin que el dueño recibiera ninguna notificación. También se podía modificar el acceso a la cuenta del propietario, lo que exponía aún más los datos personales.
Afortunadamente, estos problemas fueron corregidos y la herramienta que los investigadores crearon para demostrar la vulnerabilidad nunca fue lanzada públicamente. Kia confirmó que las vulnerabilidades no fueron explotadas de manera maliciosa y agradeció a los investigadores por su colaboración en la detección de estas fallas.
Fuente: Bleeping Computer