<aside> 📎

References

• Hacking Kia: Remotely Controlling Cars With Just a License Plate (원본) https://samcurry.net/hacking-kia

• Hackyboiz, [하루한줄] 기아 차량 원격 제어 취약점 (h4mG) https://hackyboiz.github.io/2024/10/01/h4mG/kia/

• ZDnet, 번호판 입력하면 '차량 원격제어' 가능…美서 기아車 해킹사건 https://zdnet.co.kr/view/?no=20240927110922

• GeekNews, GN⁺: Kia 차 해킹 : 번호판만으로 차 원격 제어하기

  https://news.hada.io/topic?id=16961

</aside>

<aside> ✔️

Takeaways

• 사용자의 정상 flow를 알고, 어떻게 공격 시나리오를 세울 수 있을지 고민
• Packet만으로 웹 서버가 어떻게 구성하고 동작하는지 유추할 수 있는 Background </aside>

개요

• When? 연구원 2024년 6월 11일 취약점 발견 → 기아의 내부 패치를 거쳐 2024년 9월 26일에 공개
• 연구팀은 약 2년간 12개 완성차 브랜드 웹사이트를 해킹하고 수백만대 차량을 원격 제어
  • https://samcurry.net/web-hackers-vs-the-auto-industry

TL;DR

• 차량 하드웨어를 통해 약 30초 내에 공격 가능
• Kia Connect 구독이 활성화되지 않은 차량에도 동일하게 적용됨
  • 웹사이트 결함을 통해 접근 → ‘기아툴’ 커스텀앱
• 무엇을 할 수 있나? (파급력)

  1. 피해자 몰래 차량의 두 번째 사용자로 등록할 수 있음

     ⇒ 차량제어: 원격으로 차량 위치 추적, 문 열기, 시동 켜기, 카메라 활성화 가능

  2. 개인정보 유출: 이름, 전화번호, 집 주소, 과거에 주행한 경로, …

탐색

인터넷을 통해 차량 명령을 실행시킬 수 있는 웹과 앱 활용

두 애플리케이션 모두 execute internet-to-vehicle commands 실행 가능

• 차량 Owner 웹 (owners.kia.com) → 이번 취약점의 target은 이것
  • user command을 backend reverse proxy를 통해 api.owners.kia.com로 전달함
    • 어떻게 알았나? 이 파트
  • 해당 API는 차량 명령을 실행하는 기아의 Backend 서비스
• KiaConnect iOS 앱 (com.myuvo.link) → 이번 Article에서는 다루지 않음
  • 위 API에 직접 Access 가능

예시) 웹에서 door 잠금 해제 요청 살펴보기

backend reverse proxy를 사용하는 것을 어떻게 알아냈는가? ⇒ 본인 차량을 대상으로 시도해서 관찰

• 차량 잠금해제 시도 시 아래와 같은 HTTP 요청이 전송됨

  • 사용자의 세션 정보 (Cookie: JSESSIONID)

  POST /apps/services/owners/apigwServlet.html HTTP/2
  Host: **owners.kia.com**
  Httpmethod: GET
  Apiurl: **/door/unlock**
  Servicetype: postLoginCustomer
  Cookie: JSESSIONID={SESSION_TOKEN};