[해외] 기아차 딜러 포털 취약점, 수백만 대 차량 해킹 허용
페이지 정보
본문
* Bleeping Computer 기사
Kia dealer portal flaw could let attackers hack millions of cars
# 내용 일부 GPT-4o 번역
보안 연구자 그룹이 2013년 이후 생산된 기아 차량을 해커가 번호판만으로 위치를 추적하고 훔칠 수 있는 심각한 결함을 기아 딜러 포털에서 발견했습니다.
지난 2022년, 보안 연구자이자 버그 바운티 헌터인 Sam Curry를 포함한 그룹의 일부 해커들이 페라리, BMW, 롤스로이스, 포르쉐 등의 12개 이상의 자동차 회사의 1,500만 대 이상 차량을 원격으로 찾고, 시동을 끄고, 문을 열고, 시동을 걸 수 있는 중요한 취약점을 찾은 적이 있었습니다.
▷ 지난 취약점 기사 링크 (2023년 1월)
이번에 Curry는 2024년 6월 11일에 발견한 기아 웹 포털 취약점이 원격 하드웨어가 장착된 기아 차량을 30초 이내에 제어할 수 있게 한다고 공개했습니다. 이것은 기아 커넥트 구독 활성화 여부와 상관없었습니다.
취약점으로 차량 소유자 이름, 전화번호, 이메일 주소, 실제 주소 등 민감한 개인 정보를 노출했으며, 공격자가 소유자 모르게 자신을 2번째 사용자로 추가할 수 있게 했습니다.
문제를 더 명확히 보여주기 위해, 팀은 공격자가 차량 번호판을 입력한 후 30초 이내에 원격으로 차량을 잠그거나 열고, 시동을 걸거나 끄고, 경적을 울리거나 차량 위치를 찾을 수 있는 도구를 제작했습니다. [중략]
"취약점들은 현재 모두 수정되었고, 이 도구는 공개되지 않았으며, 기아 팀은 이 취약점이 악의적으로 사용된 적이 없음을 확인했습니다."라고 Curry가 언급했습니다.
# 유튜브
빵빵곰님의 댓글