Hackers Could Have Remotely Controlled Kia Cars Using Only License Plates
Hackers Could Have Remotely Controlled Kia Cars Using Only License Plates
Kia fixes vulnerabilities that allowed remote car control using only a license plate. Patch issued
thehackernews.com
- 주요 내용
- 사이버 보안 연구자들이 기아 차량에서 번호판만으로 차량의 주요 기능을 원격 제어할 수 있는 취약점을 발견함
- 이 취약점은 Kia Connect 구독 여부와 상관없이 30초 이내에 공격을 실행할 수 있었으며, 2013년 이후 제조된 거의 모든 차량에 영향을 미침
- 공격자는 차량 소유자의 개인 정보(이름, 전화번호, 이메일, 주소)도 무단으로 획득할 수 있었음
- 취약점 세부 내용
- 공격자는 기아 차량의 딜러십 인프라를 악용하여, 가짜 계정을 HTTP 요청으로 생성하고 액세스 토큰을 발급받아 차량 정보에 접근
- 차대번호(VIN) 를 이용해 차량 소유자의 이름, 전화번호, 이메일 등의 정보를 쉽게 획득 가능
- 이를 통해 차량에 대한 기본 소유자 권한을 무단 변경하고, 차량에 대한 다양한 명령을 원격으로 실행할 수 있었음
- 공격 시나리오
- 공격자는 피해 차량의 번호판을 입력하고, 4개의 HTTP 요청을 통해 차량 소유자의 정보를 수집한 후 자신을 차량 소유자로 등록
- 이후 문 열기, 시동 걸기, 경적 울리기 등의 명령을 피해자 차량에 원격으로 실행 가능
- 피해자는 자신의 차량이 해킹당한 사실을 전혀 인지하지 못함
- 패치 및 대응
- 해당 취약점은 2024년 6월 연구자들에 의해 기아 측에 제보되었으며, 2024년 8월 14일에 기아에서 패치를 통해 문제를 해결
- 실제로 공격에 악용된 증거는 없으나, 이러한 차량 시스템의 취약성은 메타의 계정 탈취처럼 지속적으로 발생할 수 있다는 경고가 있음
- 시사점
- 자동차 제조사들은 소프트웨어 업데이트를 통해 차량의 보안 취약점을 지속적으로 관리해야 함
- 연결된 차량의 보안은 점점 더 중요한 문제로 대두되며, 제조사들은 시스템 내 보안 취약점이 없는지 철저한 점검이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| EPSS vs. CVSS: 최적의 취약점 우선순위 지정 방법은? (0) | 2024.09.29 |
|---|---|
| 개인정보 유출보다 더 많이 사용되는 DB 마케팅 방식 (3) | 2024.09.29 |
| 인기 높은 앱 속에 숨어서 퍼지고 있는 멀웨어, 네크로 (1) | 2024.09.28 |
| 금융 망분리 규제 완화와 보안 산업의 기회 (0) | 2024.09.28 |
| 전자금융거래법 개정안 공청회 (2) | 2024.09.28 |