تفاصيل الاختراق

تمكن الباحثون من استغلال نظام وكيل عكسي على الموقع الإلكتروني المخصص لملاك سيارات كيا، والذي يعيد توجيه الأوامر إلى واجهة برمجة التطبيقات (API) المسؤولة عن تشغيل السيارة. باستخدام هذه التقنية، استطاعوا إرسال أوامر للتحكم في السيارة، مثل فتح الأبواب أو تشغيل المحرك، عبر بيانات المالكين الشخصية التي يمكن جمعها بسهولة.

استغلال API

اكتشف الفريق أن المخترقين يستطيعون تسجيل أنفسهم كأصحاب جدد للسيارة بإدخال معلومات بسيطة، ما يسمح لهم بتغيير البريد الإلكتروني الخاص بالمالك الأصلي وإضافة أنفسهم كأصحاب حساب أساسيين. كما تمكنوا من الوصول إلى بيانات حساسة للمالك، مثل الاسم، العنوان، رقم الهاتف، والبريد الإلكتروني، وكل ذلك دون علم الضحية.

إجراءات الأمان

تم إبلاغ شركة كيا بهذه الثغرة في يونيو 2024، حيث سارعت إلى اتخاذ خطوات فورية لإصلاحها. بحلول منتصف أغسطس، تم إغلاق هذه الثغرات، التي كانت تهدد سيارات كيا المصنّعة بعد عام 2013.

تأثير الاختراق

حتى الآن، لم يتم تسجيل أي حوادث فعلية تشير إلى استغلال المخترقين لهذه الثغرات للتلاعب بالسيارات أو تعديل بيانات الحسابات. ومع ذلك، أثار هذا الاكتشاف القلق حول قدرة القراصنة على التحكم الكامل في وظائف السيارة، مثل قفل الأبواب، تشغيل المحرك، وحتى إطلاق بوق السيارة، دون علم المالك.

هذا الحادث يسلط الضوء على أهمية تعزيز أنظمة الأمان الإلكترونية في السيارات المتصلة بالشبكات الحديثة، لضمان حماية المستخدمين من التهديدات الإلكترونية المحتملة.