[해외] 기아차 딜러 포털 취약점, 수백만 대 차량 해킹 허용

알림
|
X

페이지 정보

작성자 아름다운별 175.♡.27.157
작성일 2024.09.29 14:38
분류 자동차
1,526 조회
3 추천
글쓰기

본문

* Bleeping Computer 기사

Kia dealer portal flaw could let attackers hack millions of cars

https://www.bleepingcomputer.com/news/security/kia-dealer-portal-flaw-could-let-attackers-hack-millions-of-cars/


# 내용 일부 GPT-4o 번역

보안 연구자 그룹이 2013년 이후 생산된 기아 차량을 해커가 번호판만으로 위치를 추적하고 훔칠 수 있는 심각한 결함을 기아 딜러 포털에서 발견했습니다.


지난 2022년, 보안 연구자이자 버그 바운티 헌터인 Sam Curry를 포함한 그룹의 일부 해커들이 페라리, BMW, 롤스로이스, 포르쉐 등의 12개 이상의 자동차 회사의 1,500만 대 이상 차량을 원격으로 찾고, 시동을 끄고, 문을 열고, 시동을 걸 수 있는 중요한 취약점을 찾은 적이 있었습니다.

▷ 지난 취약점 기사 링크 (2023년 1월)

https://www.bleepingcomputer.com/news/security/toyota-mercedes-bmw-api-flaws-exposed-owners-personal-info/


이번에 Curry는 2024년 6월 11일에 발견한 기아 웹 포털 취약점이 원격 하드웨어가 장착된 기아 차량을 30초 이내에 제어할 수 있게 한다고 공개했습니다. 이것은 기아 커넥트 구독 활성화 여부와 상관없었습니다.

취약점으로 차량 소유자 이름, 전화번호, 이메일 주소, 실제 주소 등 민감한 개인 정보를 노출했으며, 공격자가 소유자 모르게 자신을 2번째 사용자로 추가할 수 있게 했습니다.

문제를 더 명확히 보여주기 위해, 팀은 공격자가 차량 번호판을 입력한 후 30초 이내에 원격으로 차량을 잠그거나 열고, 시동을 걸거나 끄고, 경적을 울리거나 차량 위치를 찾을 수 있는 도구를 제작했습니다. [중략]


"취약점들은 현재 모두 수정되었고, 이 도구는 공개되지 않았으며, 기아 팀은 이 취약점이 악의적으로 사용된 적이 없음을 확인했습니다."라고 Curry가 언급했습니다.


# 유튜브

https://www.youtube.com/watch?v=jMHFCpQdZyg

  • 게시물이 없습니다.
댓글 2 / 1 페이지

빵빵곰님의 댓글

작성자 no_profile 빵빵곰 (104.♡.119.22)
작성일 09.29 16:21
기아차놀이는 이렇게 온라인까지… ㅠ
글쓰기
전체 검색