Pesquisadores de segurança cibernética descobriram uma falha que permitia assumir o controle de funcionalidades conectadas de veículos da Kia. Dezenas de modelos, totalizando em milhões de veículos em circulação, estavam vulneráveis à brecha encontrada em um portal web controlado pela montadora.

Apenas com os dados da placa do veículo, um hacker poderia burlar o sistema conectado da montadora para controlar qualquer carro registrado. A partir da vulnerabilidade, para fins de demonstração, os pesquisadores desenvolveram um aplicativo para celular que permitia se conectar a um modelo rapidamente e assumir controle de várias funções.

A vulnerabilidade não permitia controlar sistemas cruciais do veículo — como o imobilizador, que impede que um carro seja movido para evitar que seja roubado (mesmo que a chave esteja na ignição). No entanto, ela poderia ser explorada para roubo de conteúdo, assédio a motoristas e passageiros e outras questões de privacidade.

Em uma demonstração feita em vídeo, os pesquisadores conseguiram destravar as portas de um carro, rastrear sua localização, acionar a buzina e ligar o motor utilizando o aplicativo personalizado. Confira a seguir:

Além disso, um invasor poderia obter silenciosamente informações pessoais, incluindo o nome da vítima, número de telefone, endereço de e-mail e endereço de residência. Isso permitiria que o hacker se adicionasse como um segundo usuário no veículo da vítima.

Já corrigida pela Kia, a vulnerabilidade funcionava explorando uma falha relativamente simples no back-end de seu portal para clientes e revendedores, que é usado para configurar e gerenciar o acesso aos recursos de seus veículos conectados.

Quando os pesquisadores enviaram comandos diretamente para a API do site da Kia, eles descobriram que não havia qualquer camada de segurança que os impedisse de acessar os privilégios de uma concessionária da montadora.

“Eles não estavam verificando se um usuário é um revendedor, e isso é um grande problema”, disse Neiko Rivera, um dos especialistas por trás da descoberta. “Quanto mais analisamos isso, mais se torna óbvio que a segurança na web para veículos é muito ruim”.

A esmagadora maioria dos carros fabricados a partir de 2013 estavam sujeitos à vulnerabilidade no sistema da Kia, mesmo que não estivessem com uma assinatura ativa do Kia Connect, que permite controlar várias funções do carro pelo smartphone.

Os pesquisadores notificaram a empresa sobre a vulnerabilidade em junho de 2024, e a montadora corrigiu o problema no mês de agosto. Segundo os especialistas, não há indícios de que a falha tenha sido explorada ativamente. O aplicativo desenvolvido por eles foi utilizado exclusivamente para fins de demonstração.