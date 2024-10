Půl minuty, déle to netrvá. Poté, co hackeři otestovali webové a mobilní aplikace společnosti Kia, objevili zásadní prvek jejich zranitelnosti. S pomocí až naivně nenáročného triku dokázali bez větších potíží převzít kontrolu nad všemi vozy zmíněné značky, vyrobenými po roce 2013. Jak?

V registračním systému se přihlásili jako jejich noví majitelé, a aktivovali si k nim nový uživatelský účet. Stačila jim k tomu vlastně jen státní poznávací značka daného vozu. Na svém webu o tom informoval sám „objevitel“ onoho pochybení, čtyřiadvacetiletý Sam Curry z Nebrasky.

Sam Curry je hacker. A nestydí se za to.

Není totiž klasický počítačový pirát, spíš hodně šikovný programátor s netradiční nástavbou. V nejrůznějších aplikacích kolem sebe hledá drobné chybičky, nedostatky v systému zabezpečení, které pak představuje jejich výrobcům. Tím vlastně stimuluje inovace a chrání majitele.

Na podzim 2022 se spolu s dalšími kolegy, účastníky Konference o kyberbezpečnosti, v dobré náladě dopustil profesního žertu. Pokusu. V kampusu Marylandské univerzity se nabourali do systému místní půjčovny elektrokoloběžek, a skrze něj si bez větších obtíží dokázali „hrát“ s jednotlivými vozítky ve stojanech.

Odemknout je, rozsvítit, zatroubit, náhle je zabrzdit? Žádný problém. Vlastně je překvapilo, jak snadné to bylo. „Zajímalo nás, co ještě dokážeme na dálku přimět zatroubit,“ dodává Curry. Odtud byl už jen krůček k tomu, aby podobný přístup otestovali na softwarem prošpikovanými auty na parkovišti.

Ukázalo se, že dobýt se dovnitř moderního vozu je stejně náročné, jako ovládnout koloběžku.

Prakticky každý automobil vyrobený v posledních letech totiž trpěl identickou formou zranitelnosti. Ona „díra“ se skrývala v tzv. koncových bodech API, kterou telematické systémy běžně využívají. Laicky řečeno, pokud dokážete nastartovat svůj vůz na dálku, dokázal to i Curry a jeho kolegové. A zrovna tak by to dokázal kdokoliv náležitě poučený.

Mohli by s ním nejen troubit a zapínat světla, ale též ho odemknout či zamknout, nebo aktivovat jeho kamery. Z hříčky se tak stal aplikovaný výzkum s poměrně výbušným potenciálem.

Neuzavřená kapitola

V průběhu několika měsíců dokázali tihle etičtí hackeři zadokumentovat nikterak komplikovaný průlom do vozů dvou desítek slavných značek. Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Rolls Royce, Toyota, Porsche, Ferrari, Jaguar, Land Rover, Sirius, Ford či Spireon – protože jejich modely nesly v různých obměnách tutéž chybu.

To, že je takto možné na dálku manipulovat s prakticky 15,5 miliony osobních automobilů, si pro sebe hackeři naštěstí nenechali.

Celá záležitost se dokonce dostala na slyšení v americkém Kongresu.

Chybou disponoval Carnival, Sportage, K5, Seltos, Soul, Sorento, EV6, EV9, Forte, K5, Niro, Telluride, Stinger, Rio, Sedona, Optima a další.

Bylo to opravdu velké téma, odhalující zásadní pochybení v bezpečnosti. Vyvolalo to lavinu reakcí, řadu bezpečnostních opatření, veřejných debat. Problém po řešení skutečně volal. A údajně také vyřešen byl.

A protože už nějaký čas od té legendární a mediálně nepřehlédnutelné události uplynul, tak se nyní v červnu 2024 Sam Curry a jeho kolegové – Neiko Rivera, Justin Rhinehart a Ian Carroll – pokusili o reprízu svého prvního úspěchu.

Hodí se znovu připomenout, že finty, které používaly před dvěma lety, dnes neznámé nejsou a jako první se o nich dozvěděly automobilky. To, co jim tedy fungovalo dříve, by dnes ani v nejrůznějších obměnách a variacích nemělo být možné.

Jako první věnovali svou pozornost společnosti Kia.

„Chtěli jsme jen zjistit, zda neobjevíme nějaké nové problémy,“ říkají. Jenže nemuseli hledat dlouho, těch chyb a zranitelností objevili celou sérii.

Vstupní branou, ba přímo tunelem vedoucím k problémům, totiž byly webové aplikace společnosti Kia. Přesněji řečeno, webové stránky owners.kia.com a aplikace Kia Connect pro mobilní operační systém iOS, com.myuvo.link.

„Obě tyto aplikace pro nás byly zajímavé, protože dokázaly přenášet vzdálené příkazy přes internet do vozidla,“ popisuje Curry. „A byť obě formálně slouží ke stejnému účelu, ty z dálky zadávané příkazy zpracovávají trochu odlišně.“

V tom, jak se ukázalo, se skrývala určitá slabost.

Kterou naplno rozvinula další podstatná maličkost. Šlo o způsob, jakým prodejci v Kia provádí aktivace vozidel při nových nákupech.

Komu patří toto auto?

V krátkosti, stačí jim jen zadat váš e-mail a SPZ vašeho nového vozu, aby vám poslali aktivační kód. S ním můžete nově zakoupené auto „oživit“ a na dálku ovládat jeho funkce.

Hackeři ovšem zjistili, že nepříliš komplikovaným způsobem mohou tu původní registraci zaměnit.

Zjednodušeně řečeno, skrze stejné rozhraní váš původní e-mail nahradit svým. A pak už jen zadají SPZ vašeho vozu do systému, aby k němu dostali vlastní vygenerovaný aktivační kód. S ním už dokážou zjistit VIN kód celého vozu, a na dálku vás odpojit od dálkového ovládání.

Od prodejce jste mohli odjíždět sami, ale někdo jiný a neviděný mohl na dálku řídit s vámi.

Tedy, když nebudou chtít, neodpojí vás zcela.

Není to ani zapotřebí.

Stanou se totiž těmi, kdo auto bude kontrolovat z pozice správce, hlavního majitele, administrátora systému. Budou moci brzdit, troubit, svítit, odemykat a zamykat, startovat. A také aktivovat kamery. Zrovna tak se dostanou k vašim osobním údajům – emailu a přístupovým heslům, vaší adrese, telefonnímu číslu, záznamům z GPS.

A prakticky záleží jen na narušiteli, jak s takovou nabytou mocí naloží.

To, že si zjistí, kam vozíte každé ráno děti do školy, může být větší problém, než že si prohlédne vnitřek vaší garáže. Zrovna tak může vaše auto kdekoliv ponechat vámi zamknuté auto odemčené, anebo vám sešlápne brzdu, když to budete nejméně čekat.

Curry připouští, že fáze hledání chyby v systému Kia – a testování toho, jak ji pro nekalé účely zužitkovat – jim pár dní zabralo.

Ale jakmile dokázali vše ověřit a otestovat v praxi, najít si cestičku, zdokonalili mechanismus do té míry, že jim teď „krádež“ vozu značky Kia netrvala déle než třicet sekund. I pokud byste na trezoru anebo bankovní kartě měli PIN 1, 2, 3, 4, dalo by to zlodějům víc práce.

Skutečný majitel vozu přitom nebyl nikterak varován nebo informován o tom, že jeho auto vlastně už tak úplně jeho není. Přístupová oprávnění k systému se prostě změnila dočista neviditelně.

Podstatné je i to, že tyto hackerské útoky bylo možné provést na dálku – jen se znalostí SPZ – prakticky na jakémkoli hardwarově vybaveném vozidle značky Kia, vyrobeném po roce 2013.

Chyba v systému nebude poslední

Chybou disponovaly modely Carnival, Sportage, K5, Seltos, Soul, Sorento, EV6, EV9, Forte, K5, Niro, Telluride, Stinger, Rio, Sedona, Optima a další. Podle hackerů – ani podle prohlášení automobilky – nebyla tahle „mezera v systému“ nikdy zneužita.

Tristní na tom nicméně zůstává, že vlastně jedinou „pojistkou“, ověřením a nahodilou proměnnou v tom celém systému registrace a bezpečnosti byla jen espézetka.

Roli nehrálo ani to, zda měl řádný majitel vozu aktivní předplatné služby Kia Connect. „Prostě jsme mu nové předplatné aktivovali bez jeho vědomí a pod falešným účtem, a tím přebrali kontrolu nad jeho vozem,“ popisuje Curry.

Jak se od etických hackerů sluší a patří, s celým tím systémovým pochybením nejprve zamířili za společností Kia.

Dne 7. června je informovali o problému, a nahlásili onu „zranitelnost“.

Povinná ochrana proti krádežím běžela procesně po jiné koleji, než kontrola registrace nových vozů Kia. Hackeři to využili.

Dne 14. srpna pak tým programátorů Kia onu závadu opravil a prováděl její další testování. Od 26. září je chyba oficiálně opravena, což hackeři otestovali. A teprve pak zveřejnili na síti svou zprávu o chybě, která by asi společnost Kia stála víc než jen ztrátu dobré reputace.

Kia svou bezpečnost ani osobní informace o svých klientech na první dobrou – a ani na druhý pokus – neobhájila. Nebude v tom ale sama.

„Dá se odtušit, že moderní automobily budou i nadále obsahovat různé zranitelnosti,“ uzavírá do Sam Curry.