Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1019
)
-
▼
septiembre
(Total:
50
)
- Estafadores bancarios ya usan IA para replicar la ...
- Infostealers evitan las nuevas defensas contra el ...
- Multa a Meta por almacenar millones de contraseñas...
- Microsoft bloqueará keyloggers en Windows, aunque ...
- Una vulnerabilidad en el portal y APIs de KIA perm...
- Intel localiza la raíz de los fallos de estabilida...
- El Proyecto Tor y Tails se fusionan: «unidos por l...
- Múltiples vulnerabilidades en OpenPrinting CUPS
- Orion: las primeras gafas de realidad aumentada de...
- Meta presenta Llama 3.2, su IA de código abierto c...
- Ordenan a Google que desinstale de forma remota la...
- Disney abandona Slack tras haber sufrido un hackeo...
- Google Earth y Maps se actualiza para poder retroc...
- Vulnerabilidad crítica en GNU/Linux en espera de d...
- Google TV Streamer, análisis: el sucesor del Chrom...
- Ransomware RansomHub
- Cómo convertir una partición de Windows de MBR a G...
- Explotan vulnerabilidad Zero-Day en Windows ya par...
- Un malware chino ha infectado 2.000 dispositivos e...
- Operación Kaerb: cae red criminal de phishing en A...
- Repsol sufre un ciberataque a con filtración de su...
- Un padre instala una cámara en la cabeza de su hij...
- Ransomware llamado "Hazard" ha llamado la atención...
- PKfail compromete la seguridad de Secure Boot en P...
- YouTube anuncia novedades, incluyendo comunidades ...
- Lynx Ransomware activo en Latinoamérica
- Explosión simultánea de centenares de 'buscas' de ...
- Microsoft publica Office LTSC 2024
- Google One Lite: de 15GB a 30GB por menos dinero
- Google Photos: convertir fotos y vídeos a calidad ...
- Arrestado adolescente de 17 años involucrado en el...
- Fortinet confirma robo de 440 GB de datos
- Signal vs. Session vs. Telegram vs. WhatsApp. ¿Cuá...
- Una vulnerabilidad SQLi compromete la seguridad de...
- Mitigar ataques DDoS en un servidor web usando Fai...
- Avis sufre un ciberataque que expone información p...
- El Tribunal de la UE confirma una multa de 2.424 m...
- Autopsy: herramienta forense
- Google leerá los mensajes SMS recibidos para entre...
- 50 años de SQL
- Vulnerabilidad crítica en el complemento LiteSpeed...
- Telegram permitirá reportar conversaciones con con...
- Acusan a un productor musical de utilizar cancione...
- Mejores herramientas para redactar textos con inte...
- El Nothing Phone (2a) Plus llega a España con un p...
- Acer presenta una nueva consola portátil, la Nitro...
- Bluetooth 6 ya es oficial, trae mejoras de eficien...
- Troyano NGate de Android clona datos NFC de tarjet...
- Microsoft Recall no podrá ser desinstalado de Wind...
- Una empresa socia de Facebook admite que pueden es...
-
▼
septiembre
(Total:
50
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Una vulnerabilidad en el portal y APIs de KIA permitía hackear millones de automóviles
Un grupo de investigadores de seguridad descubrió fallas críticas en el portal de concesionarios de Kia que podrían permitir a los delincuentes informáticos localizar y robar millones de automóviles Kia fabricados después de 2013 utilizando solo la matrícula del vehículo objetivo.
Hace casi dos años, en 2022, algunos de los hackers de este grupo, incluido el investigador de seguridad y cazarrecompensas de errores Sam Curry (aka Samwcyo), encontraron otras vulnerabilidades críticas que afectaban a más de una docena de empresas automotrices y que habrían permitido a los delincuentes localizar, desactivar motores de arranque y desbloquear de forma remota. y poner en marcha más de 15 millones de vehículos fabricados por Ferrari, BMW, Rolls Royce, Porsche y otros fabricantes de automóviles.
Hoy, Curry reveló que las "vulnerabilidades del portal web de Kia descubiertas el 11 de junio de 2024 podrían explotarse para controlar cualquier vehículo Kia equipado con hardware remoto en menos de 30 segundos, independientemente de si tenía una suscripción activa a Kia Connect".
Las fallas también expusieron información personal confidencial de los propietarios de automóviles, incluido su nombre, número de teléfono, dirección de correo electrónico y dirección física, y podrían haber permitido a los atacantes agregarse como un segundo usuario en los vehículos objetivo sin el conocimiento de los propietarios.
Para demostrar aún más el problema, el equipo creó una herramienta que muestra cómo un atacante podría ingresar la matrícula de un vehículo y, en 30 segundos, bloquear o desbloquear el automóvil de forma remota, arrancarlo o detenerlo, tocar la bocina o localizar el vehículo.
Los investigadores registraron una cuenta de distribuidor en el portal de distribuidores kiaconnect.kdealer.com de Kia para obtener acceso a esta información. Una vez autenticados, generaron un token de acceso válido que les dio acceso a las API del distribuidor, brindándoles detalles críticos sobre el propietario del vehículo y acceso completo a los controles remotos del automóvil.
Descubrieron que los atacantes podían utilizar la API del distribuidor backend para:
- Generar un token de distribuidor y recuparlo de la respuesta HTTP
- Acceder a la dirección de correo electrónico y al número de teléfono de la víctima.
- Modificar los permisos de acceso del propietario utilizando información filtrada
- Agregar un correo electrónico controlado por el atacante al vehículo de la víctima, permitiendo comandos remotos
"La respuesta HTTP contenía el nombre, el número de teléfono y la dirección de correo electrónico del propietario del vehículo. Pudimos autenticarnos en el portal del concesionario utilizando nuestras credenciales normales de la aplicación y el encabezado del canal modificado", dijo Curry.
Desde allí, los atacantes podrían ingresar el VIN (número de identificación del vehículo) de un vehículo a través de la API y rastrear, desbloquear, arrancar o tocar la bocina de forma remota sin el conocimiento del propietario.
Los fallos del portal web de Kia permitían un acceso silencioso y no autorizado a un vehículo ya que, según explicó Curry, "por parte de la víctima, no hubo ninguna notificación de que se había accedido a su vehículo ni se habían modificado sus permisos de acceso".
"Desde entonces, estas vulnerabilidades se solucionaron, esta herramienta nunca se lanzó y el equipo de Kia ha validado que nunca fue explotada de manera maliciosa", agregó Curry.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2024/09/una-falla-en-el-portal-y-apis-de-kia.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.