Kia heeft een lek in zijn website gevonden en opgelost. Onderzoekers konden daar nummerplaten ingeven en kregen zo de mogelijkheid om auto’s van op afstand over te nemen, aan te zetten en te volgen.
Een groep onderzoekers ontdekte in juni van dit jaar een lek tijdens het controleren van Kia’s website. Klanten kunnen hun auto registeren via een webportaal om zelf (of via de autoverdelers) online functies aan of uit te schakelen. Dat webportaal bevatte een lek. De onderzoekers konden een API-call uitvoeren, een mogelijkheid die normaal alleen voor de verdelers is weggelegd.
Hoe gevaarlijk was het lek voor bestuurders?
Als de onderzoekers het voertuigidentificatienummer ingaven, kregen ze via de API een resem gebruikersgegevens te zien. Met die gegevens konden de onderzoekers zich aangeven als primaire accounteigenaar. Hierdoor kregen ze alle mogelijkheden die klanten en verdelers ook krijgen. Ze konden het voertuig van op afstand ontgrendelen, vergrendelen en de locatie verkrijgen. Ook de motor en camera in- of uitschakelen was geen probleem. Dat kon bij elke KIA-auto die na 2013 geproduceerd werd volgens Wired.
Om het proces te vergemakkelijken, ontwikkelden de onderzoekers een tool waarmee ze via een ingegeven nummerplaat automatisch het identificatienummer konden opzoeken. Op die manier konden ze direct commando’s versturen. Toen Kia op de hoogte werd gebracht van het lek in juni, hebben ze het onmiddellijk gedicht. Volgens de autofabrikant zou het lek nooit gebruikt zijn door malafide hackers.
Kia mocht vorig jaar nog een brandje blussen in de VS. In de Amerikaanse stad Columbus werden er afgelopen zomer ook regelmatig auto’s gestolen door ‘The Kia Boys’. Via een USB-A-poort onder het stuur kon de motor worden gestart. Het YouTube-filmpje is al meer dan zes miljoen keer bekeken. In plaats van de auto’s illegaal door te verkopen, gebruikten de tieners ze enkel voor joyrides.