## باحثون يكشفون ثغرة أمنية تهدد سيارات KIA
كشف باحثون تقنيون عن ثغرة أمنية خطيرة تمكّن القراصنة من السيطرة عن بُعد على العديد من موديلات سيارات KIA، عبر استخدام بيانات لوحة تسجيل السيارة فقط، دون الحاجة إلى اشتراك Kia Connect. وقد تم إصلاح هذه الثغرة من قبل الشركة المصنعة.
وجد البحث أن الثغرة في نظام نقل البيانات الخاص بشركة KIA كانت تسمح للمتسللين بالحصول على معلومات شخصية تشمل اسم السائق، ورقم الهاتف، والبريد الإلكتروني، والعنوان الفيزيائي. وتمت الإشارة إلى أن هذه الثغرة كانت بالغة الخطورة، إذ يمكن للمتسلل إضافة أي شخص كـ “مستخدم ثانٍ غير مرئي” للسيارة دون علم مالكها.
طور الباحثون أداة تحت اسم “KIATool” التي تتيح للمستخدم إدخال رقم لوحة السيارة، ليتمكن من تنفيذ أوامر معينة على السيارة خلال 30 ثانية فقط.
كما تم اكتشاف أن الثغرات كانت موجودة في الموقع الإلكتروني owners.kia.com وتطبيق Kia Connect على نظام iOS، مما سمح للوصول غير المصرح به لتنفيذ أوامر “من الإنترنت إلى السيارة”.
أشار الباحثون إلى أن الموقع الإلكتروني والتطبيق يجمعان الهدف ذاته، لكنهما يعالجان الأوامر بشكل مختلف. حيث استخدم الموقع بروكسي عكسياً لتحويل الأوامر إلى السيرفر الخاص بالسيارة، بينما كان التطبيق يستدعي الـ API مباشرة، مما أتاح المجال للباحثين لتوجيه طلباتهم إلى الموقع.
كذلك، تبين أن موقع KIA كان يتيح التسجيل والتحقق من حسابات الوكلاء دون تدقيق، مما يعني أنه يمكن الحصول على توكنات وصول صالحة لاستخدامها في استدعاء الـ API الخاص بالنظام.
بعد جمع المعلومات والبيانات اللازمة، تم إنشاء أداة تسمح للمتسلل بإدخال رقم لوحة السيارة والحصول على بيانات مالك السيارة ثم تنفيذ أوامر مثل فتح الأبواب وتشغيل المحرك.
وفقًا للباحثين، تستند طريقة استخراج المعلومات إلى تحويل رقم لوحة السيارة إلى VIN باستخدام API خارجي، مما يسهل عملية السيطرة على السيارة المستهدفة.
وعند إجراء التجارب، تمكن الباحثون من الوصول عن بُعد إلى سيارة KIA مؤجرة، حيث قاموا بتجربة فتح وإغلاق الأبواب وتشغيل وإيقاف المحرك.
وفي أعقاب هذه الاكتشافات، تحرك المهندسون في KIA فورًا لإصلاح الثغرات الأمنية خلال شهرين، معالجين نقاط الضعف المبلغ عنها.
