Serangan ini dapat dilakukan secara pasif hanya dengan melacak pelat nomor korban dan memanfaatkan API untuk mendapatkan VIN.
Sebuah celah keamanan yang ditemukan pada mobil Kia memungkinkan penyerang mengendalikan fungsi-fungsi penting kendaraan dari jarak jauh hanya dengan menggunakan pelat nomor. Kelemahan ini, yang telah diperbaiki oleh Kia, dapat dieksploitasi dalam waktu sekitar 30 detik pada kendaraan yang dilengkapi perangkat keras tertentu, bahkan jika mobil tersebut tidak memiliki keanggotaan Kia Connect yang aktif.
Dalam laporan yang dirilis oleh peneliti keamanan siber Sam Curry (29/9), celah ini memungkinkan penyerang mencuri informasi pribadi pemilik mobil, termasuk nama, nomor telepon, alamat email, dan alamat fisik. Informasi ini bisa digunakan untuk diam-diam menambahkan akun penyerang ke dalam sistem kendaraan sebagai pengguna kedua tanpa sepengetahuan pemilik asli.
Curry menjelaskan bahwa serangan ini dimulai ketika pemilik mobil baru diminta oleh dealer Kia untuk memberikan alamat email mereka, yang kemudian digunakan untuk mengirim tautan registrasi. Melalui tautan ini, pemilik dapat membuat akun Kia baru atau menambahkan kendaraan baru ke akun Kia yang sudah ada. Dalam proses tersebut, token akses yang disebut VIN Key dihasilkan oleh dealer, yang memungkinkan perubahan pada kendaraan yang terdaftar.
Peneliti menggunakan token dealer dan nomor VIN (Vehicle Identification Number) untuk membuat permintaan HTTP ke endpoint dealer, yang dalam tanggapan HTTP, menghasilkan informasi pribadi pemilik mobil, seperti nama dan email. Dengan informasi ini, penyerang dapat mengakses portal dealer dan mengirim empat permintaan HTTP untuk mengendalikan kendaraan korban, termasuk:
1. Menghasilkan token dealer dan mendapatkan token dari tanggapan HTTP.
2. Mengambil alamat email dan nomor telepon korban.
3. Mengubah akses pemilik kendaraan sebelumnya menggunakan email dan nomor VIN yang bocor.
4. Menambahkan penyerang sebagai pemilik kendaraan, sehingga dapat memberikan perintah seperti membuka kunci, menyalakan mesin, atau membunyikan klakson.
Pelanggan tidak diberitahu bahwa akses kendaraan mereka telah diambil alih atau bahwa izin akses mereka telah diubah. Serangan ini dapat dilakukan secara pasif hanya dengan melacak pelat nomor korban dan memanfaatkan API untuk mendapatkan VIN, yang memungkinkan penyerang memberikan perintah aktif ke kendaraan korban.
Tim peneliti melaporkan kelemahan ini kepada Kia pada 11 Juni 2024, dan Kia menyelesaikan perbaikan pada 14 Agustus 2024. Kia juga mengonfirmasi bahwa celah ini tidak pernah dieksploitasi untuk tujuan jahat.
Ahli keamanan siber memperingatkan bahwa mobil akan terus rentan terhadap serangan seperti ini, di mana produsen mobil dapat mengusulkan perubahan kode yang memungkinkan seseorang mengambil alih kendali kendaraan, mirip dengan kasus peretasan akun di platform media sosial.