كشف مجموعة من الباحثين الأمنيين المستقلين عن ثغرة خطيرة في بوابة إلكترونية تابعة لشركة كيا، والتي مكنت الباحثين من إعادة تخصيص التحكم في ميزات الإنترنت للعديد من موديلات سيارات كيا الحديثة. هذه الثغرة سمحت لهم بتعقب ملايين السيارات، وفتح الأبواب، وتشغيل المحرك عن بُعد باستخدام هواتفهم أو أجهزة الكمبيوتر.
اكتشف الفريق الأمني أن الثغرة موجودة في بوابة الإنترنت التي تستخدمها كيا لإدارة ميزات السيارات المتصلة بالإنترنت. من خلال استغلال واجهة برمجة التطبيقات (API) الخاصة بالموقع، وجد الباحثون أن الموقع لا يتحقق مما إذا كان المستخدم يتمتع بامتيازات التاجر (Dealer)، مما مكنهم من الوصول إلى ميزات التحكم في أي سيارة.
عن طريق تطبيق مخصص قاموا ببنائه، تمكنوا من التحكم في سيارات كيا بعد الحصول على رقم اللوحة وتحديد السيارة من خلال موقع PlateToVin.com. وكان بإمكانهم تتبع السيارات وفتح أبوابها، وتشغيل محركاتها عن بُعد، وكل ذلك دون إذن من مالكي السيارات.
بعد إبلاغ كيا عن الثغرة في يونيو 2024، قامت الشركة بإصلاح الثغرة بشكل جزئي. ومع ذلك، أشار الباحثون إلى أن المشكلة لا تزال قائمة جزئيًا، وأن الشركة لم ترد على استفساراتهم أو استفسارات وسائل الإعلام منذ ذلك الحين. وبحسب ما ذكره الباحثون، فهذه الثغرة ليست الأولى التي يتم اكتشافها في أنظمة كيا. ففي العام الماضي، اكتشفوا ثغرة مشابهة سمحت لهم بالتحكم في سيارات كيا بطريقة مماثلة.
الثغرات التي اكتشفها الباحثون لا تقتصر على سيارات كيا فقط. فقد كشفوا عن ثغرات مشابهة في أنظمة عدد من شركات السيارات مثل أكورا، هوندا، هيونداي، جينيسيس، إنفينيتي، وتويوتا. وتتيح هذه الثغرات للهاكرز التحكم في ميزات السيارات المتصلة بالإنترنت أو الوصول إلى بيانات شخصية مثل الأسماء والعناوين والبريد الإلكتروني وأرقام الهواتف.
في حين أن الثغرة لا تمنح الوصول إلى أنظمة القيادة مثل التوجيه أو الفرامل، إلا أنها تتيح للهاكرز إمكانية سرقة السيارة أو حتى استخدامها في التهديد والمضايقات. يمكن للهاكر مثلاً أن يقوم بتعقب سيارة شخص قام بقطع الطريق عليه وفتح أبوابها أو إطلاق البوق عن بُعد.
أحد الباحثين المشاركين في الدراسة أشار إلى أن شركات السيارات تهتم أكثر بأمن الأجهزة المدمجة في السيارات (Embedded Devices)، ولكنها تهمل بشكل كبير أمن مواقع الويب والبوابات الإلكترونية التي تتحكم في هذه الأجهزة. وهذا ما يجعل ثغرات الويب في هذا السياق شائعة جدًا وخطيرة.
أوضحت كيا أنها تحقق في المشكلة وقامت ببعض الإجراءات المؤقتة لإصلاح الثغرة، لكن الباحثين يرون أن هذه المشكلة جزء من مشكلة أوسع في صناعة السيارات التي تحتاج إلى مزيد من التركيز على أمن الويب لضمان حماية عملائها.
بينما تتسارع شركات السيارات لتقديم ميزات متصلة بالإنترنت تروق للمستخدمين الشباب، فإن هذه الاندفاعات قد تركت بعض الثغرات الأمنية غير المرئية. هذا الاكتشاف يُظهر أن على شركات السيارات أن تولي المزيد من الاهتمام بأمن بواباتها الإلكترونية، وليس فقط بأنظمة السيارة المدمجة
