De ingebouwde software van bepaalde Kia-modellen zou zwakke plekken vertonen waardoor hackers op afstand voertuigen kunnen ontgrendelen, starten en volgen. Deze kwetsbaarheden zijn ontdekt door een team van cybersecurity-specialisten. Volgens hun analyse gaat het om voertuigen die zijn geproduceerd na 2013, ongeacht of ze zijn uitgerust met een Kia Connect-abonnement, een dienst die het mogelijk maakt om de auto te verbinden met een smartphone voor toegang tot verschillende functies.
De situatie is kritiek, aangezien een virtuele inbraak in het voertuig mogelijk is in minder dan 30 seconden, simpelweg door gebruik te maken van het kenteken. Hackers hebben dus geen fysiek contact met de auto nodig. Dankzij zwakke plekken in de infrastructuur, die in theorie gereserveerd is voor dealers, hebben onderzoekers aangetoond dat de interne beheersystemen van voertuigen kunnen worden aangetast.
Het verdelersnetwerk
Om deze zwakke plekken te identificeren, hebben onderzoekers zich geregistreerd op een website voor Kia-dealers. Nadat ze erin slaagden om zich op dit platform aan te melden, konden ze toegangstokens genereren, een relatief eenvoudige methode die hen technisch in staat stelde om toegang te krijgen tot de API’s van het Kia-systeem. Deze stap opende de deur naar gevoelige informatie zoals de naam, het telefoonnummer en het e-mailadres van voertuigeigenaars.
Advertentie – lees hieronder verder
Hackers hadden deze toegangsgegevens kunnen wijzigen om zich voor te doen als eigenaars, zonder dat de echte eigenaar hiervan op de hoogte zou zijn. Volgens de bonafide hackers had de aanval nog verder kunnen gaan: door toegang te krijgen tot het voertuigidentificatienummer (VIN) zou een digitale inbreker perfect in staat zijn om commando’s uit te voeren, zoals het ontgrendelen, starten of volgen van de auto. Dit soort persoonlijke gegevens kan de weg vrijmaken voor financiële chantage.
Genomen maatregelen
Deze zwakke plekken werden ontdekt op 11 juni en zouden snel aan Kia zijn gemeld. De fabrikant heeft naar verluidt in augustus een patch uitgebracht, waarbij wordt meegedeeld dat de kwetsbaarheden niet zijn misbruikt door hackers. Maar dit bevestigt slechts de toenemende gevaren waarmee verbonden auto’s worden geconfronteerd. Fabrikanten moeten daarom nog meer investeren in de softwarebeveiliging van hun voertuigen.
Maar hoe zit het in België? We hebben Luca Pavone, woordvoerder van Kia, bevraagd, die zegt dat Kia Connect in Europa niet is gekoppeld aan het kenteken van de auto, wat Belgische klanten beschermt tegen dit soort inbraken.
Niet uniek
Dit is natuurlijk niet de eerste keer dat de kwetsbaarheden van auto’s aan het licht worden gebracht. In 2022 had hetzelfde team al aangetoond dat het mogelijk was om toegang te krijgen tot de locatiegegevens van auto’s. Dit zou hen in staat hebben gesteld om potentieel de controle over 15,5 miljoen voertuigen over te nemen, inclusief hulpdienstvoertuigen.
De realiteit is dat de toename van verbonden systemen in voertuigen leidt tot een groter aantal potentiële toegangspunten voor hackers. En dat vereist strikte maatregelen op het gebied van cyberveiligheid.
Op zoek naar een auto? Zoek, vind en koop het beste model op Gocar.be