أخبار تقنية

كيا تصدر تحديثات أمنية عاجلة بعد اكتشاف ثغرات خطيرة تتيح التحكم عن بعد

كشف باحثو الأمن السيبراني عن مجموعة من نقاط الضعف التي تم تصحيحها الآن في سيارات كيا والتي، إذا تم استغلالها بنجاح، كان من الممكن أن تسمح بالتحكم عن بعد في الوظائف الرئيسية ببساطة عن طريق استخدام لوحة ترخيص فقط

صورة إدارة ميكسي نيوز إدارة ميكسي نيوز5 أكتوبر، 2024آخر تحديث: 5 أكتوبر، 2024
0 6 2 دقائق للقراءة

كشف باحثو الأمن السيبراني عن مجموعة من نقاط الضعف التي تم تصحيحها الآن في سيارات كيا والتي، إذا تم استغلالها بنجاح، كان من الممكن أن تسمح بالتحكم عن بعد في الوظائف الرئيسية ببساطة عن طريق استخدام لوحة ترخيص فقط.

“يمكن تنفيذ هذه الهجمات عن بعد على أي مركبة مجهزة بالأجهزة في حوالي 30 ثانية، بغض النظر عما إذا كان لديها اشتراك نشط في Kia Connect،” الباحثون الأمنيون نيكو ريفيرا، سام كاري، جاستن راينهارت، وإيان كارول. قال.

وتؤثر هذه المشكلات على جميع المركبات التي تم تصنيعها بعد عام 2013 تقريبًا، حتى أنها تسمح للمهاجمين بالوصول سرًا إلى المعلومات الحساسة بما في ذلك اسم الضحية ورقم الهاتف وعنوان البريد الإلكتروني والعنوان الفعلي.

 

بشكل أساسي، يمكن للخصم بعد ذلك إساءة استخدام هذا لإضافة أنفسهم كمستخدم ثانٍ “غير مرئي” في السيارة دون علم المالك.

مقالات ذات صلة

جوهر البحث هو أن المشكلات تستغل البنية التحتية لوكالة كيا (“kiaconnect.kdealer(.)com”) المستخدمة لتنشيط المركبات للتسجيل في حساب مزيف عبر طلب HTTP ثم إنشاء رموز الوصول.

يتم استخدام الرمز المميز لاحقًا جنبًا إلى جنب مع طلب HTTP آخر إلى نقطة نهاية APIGW للتاجر ورقم تعريف السيارة (VIN) للسيارة للحصول على اسم مالك السيارة ورقم الهاتف وعنوان البريد الإلكتروني.

والأكثر من ذلك، وجد الباحثون أنه من الممكن الوصول إلى سيارة الضحية عن طريق إصدار أربعة طلبات HTTP، وتنفيذ أوامر الإنترنت إلى السيارة في النهاية –

  • قم بإنشاء الرمز المميز للتاجر واسترد رأس “الرمز المميز” من استجابة HTTP باستخدام الطريقة المذكورة أعلاه
  • جلب عنوان البريد الإلكتروني للضحية ورقم الهاتف
  • قم بتعديل الوصول السابق للمالك باستخدام عنوان البريد الإلكتروني المسرب ورقم VIN لإضافة المهاجم باعتباره صاحب الحساب الأساسي
  • أضف مهاجمًا إلى السيارة الضحية عن طريق إضافة عنوان بريد إلكتروني تحت سيطرته باعتباره المالك الأساسي للمركبة، مما يسمح بتشغيل أوامر عشوائية

وأشار الباحثون إلى أنه “من جانب الضحية، لم يكن هناك أي إشعار بأنه تم الوصول إلى سيارتهم ولم يتم تعديل أذونات الوصول الخاصة بهم”.

 

“يمكن للمهاجم حل لوحة ترخيص شخص ما، وإدخال رقم VIN الخاص به من خلال واجهة برمجة التطبيقات، ثم تتبعه بشكل سلبي وإرسال أوامر نشطة مثل فتح القفل أو البدء أو التزمير.”

 

في سيناريو الهجوم الافتراضي، يمكن لممثل سيء الدخول إلى لوحة ترخيص سيارة كيا في لوحة معلومات مخصصة، واسترداد معلومات الضحية، ثم تنفيذ الأوامر على السيارة بعد حوالي 30 ثانية.

وبعد الكشف المسؤول في يونيو 2024، قامت شركة كيا بمعالجة العيوب اعتبارًا من 14 أغسطس 2024. ولا يوجد دليل على أنه تم استغلال هذه الثغرات الأمنية على الإطلاق.

وقال الباحثون: “ستظل السيارات تعاني من نقاط ضعف، لأنه بنفس الطريقة التي يمكن أن تقدم بها Meta تغييرًا في الكود يسمح لشخص ما بالاستيلاء على حسابك على Facebook، يمكن لمصنعي السيارات أن يفعلوا الشيء نفسه بالنسبة لسيارتك”.

الأوسمة
صورة إدارة ميكسي نيوز إدارة ميكسي نيوز5 أكتوبر، 2024آخر تحديث: 5 أكتوبر، 2024
0 6 2 دقائق للقراءة
صورة إدارة ميكسي نيوز

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

© حقوق النشر 2025، جميع الحقوق محفوظة. تطوير AwA
ميكسي نيوز MixyNews منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية
زر الذهاب إلى الأعلى