이전과 달랐던 2024년 기아차 웹 포털의 결함
예전 보안 연구원들은 차량 인터넷 연결 시스템을 하이재킹 하는 방법을 찾아해멨지만, 매우 어려웠죠. 2010년 셰보레 Impala나 2015년 Jeep를 원격장악 하는 방법을 찾았는데, 개발에만 수년에 독창적인 트릭이 필요했습니다. 자동차의 텔레매틱스 장치에 있는 모호한 코드를 역공학하고 다시 악성 소프트웨어를 넣는것입니다. 여기엔 여럿 방법들이 있는데, 라디오를 이용한다던가, 악성코드가 포함된 CD를 넣는등이 있었죠.
이제 더 쉬워졌습니다.
https://samcurry.net/hacking-kia - 9/20일날 독립적인 연구원들은 기아 웹 포털에서 대부분의 기아 자동차(수십여 모델, 그리고 수백만여대)의 인터넷 연결 기능에 대한 제어권을 재할당할수 있었습니다. 자동차가 이동중에도 해당 취약점을 악용하고 대상 자동차에 명령을 내리는 자체 맞춤형 앱을 이용하여 인터넷에 연결된 거의 모든 기아 자동차의 번호판을 스캔하며, 몇 초 안에 자동차의 위치를 추적할수 있게 되었습니다. 잠금이라던가 시동도 당연히 포함되는 문제죠. 다행이도 이 팀이 6월에 기아에 문제를 알린후 수정한 것으로 보여집니다. 그러나, 문제는 지금부터입니다.
왜냐면 이들이 기아차를 해킹한데 사용한 웹 버그는 현대차 소유 회사에 보고한 두번째 종류였기 때문입니다. 최신 기아 취약점을 발견하고 대규모 그룹과 협력한 연구원 중 한 명인 Neiko "specters" Rivera는 "이 문제를 더 많이 조사할수록 차량의 웹 보안이 매우 열악하다는 것이 더욱 명백해졌습니다."라 합니다.
연구 그룹은 기아차의 최신 보안 취약점을 알리기 전에 소수의 기아차(렌트카, 친구의 자동차, 심지어 대리점에 있는 자동차)에 대해 웹 기반 기술을 테스트한 결과 모든 경우에 작동한다는 사실을 발견했습니다. 이 그룹이 발견한 기아 해킹 기술은 연결된 자동차 기능에 대한 액세스를 설정하고 관리하는 데 사용되는 고객 및 딜러를 위한 기아 웹 포털의 백엔드에 있는 상대적으로 간단한 결함을 악용하는 방식으로 작동합니다. 연구원들이 기아 웹 포탈의 API(사용자가 기본 데이터와 상호 작용할 수 있게 해주는 인터페이스)에 직접 명령을 보냈을 때 그들은 통제권을 할당하거나 재할당하는 등 기아 딜러의 권한에 접근하는 것을 막는 것이 아무것도 없다는 것을 발견했습니다. 딜러인지 사용자인지 구별을 안하는거죠.
기아 자동차의 웹포털에서는 차량식별번호(VIN)를 기준으로 차량을 조회할 수 있었습니다. 그러나 해커들은 PlateToVin.com 웹사이트를 통해 자동차 번호판 번호를 얻은 후 자동차의 VIN을 빠르게 찾을 수 있다는 사실을 발견했습니다.
그리고 이 시스템을 사용하는 모든 딜러는 어떤 차량의 기능이 특정 계정과 연결되는지에 대해 충격적인 수준의 통제권을 갖고 신뢰받는 것 같았다고 Rivera가 덧붙였습니다.
더 많은 기능들과 더 바보같은 버그들
캘리포니아 대학교 샌디에고의 컴퓨터 과학 교수인 Stefan Savage는 왜 이렇게 되었느냐는 설명에서 기업이 스마트폰 지원 기능으로 소비자, 특히 젊은 층의 관심을 끌기 위해 노력한 결과라고 일컫습니다. 예전엔 연결 안되었던 것들이 인터넷이나 클라우드에 연결되게 되면 새로운 공격 표면이 만들이지기 때문이죠. 그리고 또한, 이런 웹 기반 코드들의 보안이 취약하다는 것에도 놀랐다고 합니다.
Rivera는 이 분야에 일하면서, 자동차 회사들이 종종 웹 보안보다는 "내장형 장치"(예전 자동차와 같은 비전통적인 컴퓨팅 환경의 디지털 구성 요소)에 더 중점을 두는 것을 목격했다고 합니다. 왜냐면 기존 임베디드 장치를 업데이트하는 것이 훨씬 더 어렵고 리콜로 이어질 수 있기 때문이라고 말합니다.