Các nhà nghiên cứu phát hiện ra một lỗ hổng phần mềm cho phép kẻ gian tiếp cận hàng triệu xe Kia sản xuất sau năm 2013 chỉ trong 30 giây, thông qua biển số.
Một nhóm các nhà nghiên cứu ở Mỹ, gồm Sam Curry, Ian Carroll, Neiko Rivera, và Justin Rhinehart, đã phát hiện lỗ hổng này vào tháng 6. Nó cho phép kẻ gian giành quyền kiểm soát xe chỉ trong 30 giây, đồng thời để lộ nhiều thông tin cá nhân của khách hàng, như tên, số điện thoại, địa chỉ email, và địa chỉ nhà.
Ông Curry giải thích trên website cá nhân rằng họ có thể đăng ký và trở thành một đại lý để truy cập được vào trang đại lý Kia. Từ đó, họ học cách lấy thông tin khách hàng và trở thành người giữ tài khoản chính của các xe mục tiêu.
Họ làm được như vậy một phần bằng cách thay đổi địa chỉ email kết nối chiếc xe với một tài khoản do hacker kiểm soát. Trang Malwarebytes cũng lưu ý rằng họ cần số VIN, nên đã sử dụng một giao diện lập trình ứng dụng (API) để chuyển đổi biển số thành số VIN.
Kết quả là kẻ xấu có thể tạo một công cụ để khóa/mở khóa xe từ xa, khởi động, cũng như xác định vị trí của xe. Như vậy là đủ để lấy trộm xe một cách dễ dàng.
Danh sách các xe bị ảnh hưởng khá dài, có vẻ bao gồm tất cả các mẫu xe Kia, như Seltos, Soul, Sorento, Sportage, Stinger, Telluride, Forte, Niro, K5, EV6, và EV9.
Điều may mắn là lỗ hổng này bị phát hiện bởi những người tốt, và họ đã liên hệ ngay với Kia vào đầu tháng 6. Kia đã có phản hồi và bắt đầu tiến hành điều tra, xử lý lỗ hổng này vào tháng 8.
Sau khi kiểm tra thấy vấn đề đã thực sự được xử lý, nhóm mới quyết định chia sẻ công khai. Họ cũng cho biết họ chưa bao giờ tung công cụ nói trên ra ngoài và Kia xác định rằng lỗ hổng chưa từng bị khai thác vì mục đích xấu.