Značajna sigurnosna ranjivost otkrivena je u KIA vozilima prodatim u Ekvadoru, što potencijalno utiče na hiljade automobila i izlaže ih sofisticiranim tehnikama krađe.
Nezavisni istraživač sigurnosti hardvera Danilo Erazo utvrdio je da sistemi za otključavanje bez ključa marke KIA, koji se koriste u Ekvadoru, koriste zastarjelu tehnologiju koja vozila čini ranjivim na napade ponavljanjem i kloniranje signala.
Ranjivost, označena kao CVE-2025-6029, utiče na KIA vozila u Ekvadoru od 2022. do 2025. godine, uključujući popularne modele kao što su Soluto, Río i Picanto.
Osnovni problem proizlazi iz korištenja tehnologije učenja koda od strane KIA Ekvador umjesto standardnih sistema promjenjivog koda koji su široko prihvaćeni od sredine 1990-ih.
Vozila KIA Ecuador iz 2022. i početka 2023. koriste čip HS2240, dok modeli iz 2024. i 2025. koriste čip EV1527, pri čemu oba implementiraju kodove za učenje umjesto sigurnih promjenjivih kodova.
Ovaj tehnološki izbor stvara višestruke vektore napada koje kriminalci mogu iskoristiti za neovlašteni pristup vozilima.
Demonstrirane višestruke metode napada
Erazovo istraživanje, predstavljeno na prestižnim sigurnosnim konferencijama, uključujući DEFCON32 u Las Vegasu i Ekoparty 2024 u Buenos Airesu, demonstrira nekoliko zabrinjavajućih metoda napada.
Sistem učenja kodova omogućava napadačima da izvode napade grubom silom protiv približno milion mogućih fiksnih kodova, pri čemu se vjerovatnoća uspjeha povećava jer vozila mogu istovremeno pohraniti do četiri koda za učenje.
Još alarmantnije je to što kriminalci mogu uhvatiti radiofrekventne signale s legitimnih privjesaka za ključeve i reproducirati ih kako bi otključali vozila, budući da kodovi ostaju statični i ne mijenjaju se sa svakom upotrebom.
Istraživač je također otkrio da napadači mogu instalirati kodove za skrivena vrata na prijemnike vozila, u suštini programirajući vlastite ključeve za rad s ciljanim vozilima.
Da bi demonstrirali ove ranjivosti, Erazo je razvio AutoRFKiller, alat zasnovan na Pythonu koji koristi GNURadio module i HackRF softverski definisane radio uređaje. Ovaj alat može otključati bilo koje vozilo pomoću privjesaka za ključeve s učenjem koda, a također uključuje napade na sisteme s promjenjivim kodom.
Implikacije se protežu dalje od krađe pojedinačnih vozila. Istraživanje otkriva značajan problem sudara gdje bi privjesak za ključ jednog vozila potencijalno mogao otvoriti drugo vozilo ili garažna vrata koristeći istu tehnologiju učenja koda.
Ovaj rizik je pojačan ograničenim rasponom mogućih kombinacija i široko rasprostranjenom upotrebom sličnih čipova kod različitih proizvođača i primjena.
Uprkos prijavljivanju ranjivosti kompaniji KIA Ecuador u maju 2024. godine, nisu preduzeti nikakvi napori za sanaciju. Slučaj se sada rješava uz podršku Grupe za istraživanje sigurnosti automobila (ASRG), neprofitne organizacije koja pomaže u prijavljivanju ranjivosti vozila širom svijeta.
Istraživač naglašava da se ovaj problem vjerovatno proteže i izvan Ekvadora, procjenjujući da i druge latinoameričke zemlje mogu implementirati slične ranjive sisteme privjesaka za ključeve. Ovo naglašava širi regionalni problem gdje vozila sastavljena lokalno možda ne prolaze adekvatnu sigurnosnu analizu ugrađenih komponenti.
Stručnjaci za sigurnost preporučuju da potrošači zahtijevaju tehnologiju promjenjivog koda u svojim privjescima za ključeve vozila i da razmotre zamjenu sistema učenja koda sigurnijim alternativama. Kontinuirana upotreba zastarjele tehnologije fiksnog koda u modelima iz 2024. i 2025. godine predstavlja neprihvatljiv sigurnosni rizik koji vlasnike vozila izlaže nepotrebnom riziku od krađe.
Izvor: CyberSecurityNews