Op basis van kenteken en chassisnummer was je al binnen bij Kia
Mooi al die connected diensten in je auto. Wij denken wel eens dat het alleen maar gebruikt wordt om abonnementen aan ons te verkopen en features van de auto op afstand weer uit te zetten wanneer we dat abonnement weer opzeggen. Maar natuurlijk is het ook superfijn dat je niet voor elke Tesla Recal terug hoeft naar de Tesla kerk en dat dit gewoon OTA (over the air) kan.
Vooruitgang is zo gek nog niet! Maar al deze nieuwe kansen voor ons als berijders en de merken als ontwikkelaars brengen ook een gevaar met zich mee. Je moet het natuurlijk allemaal wel goed beveiligen. Want je wilt niet dat je auto gehackt wordt en dat men op afstand jouw auto kan beïnvloeden.
Precies dat gevaar liepen volgens Wired.com miljoenen Amerikaanse KIA eigenaren wel. Een ethische hackergroep heeft namelijk onderzoek gedaan naar een veiligheidslek in KIA’s. Klinkt bekend? Dit is niet helemaal hetzelfde, maar in januari van 2023 schreven wel al over hackers die onder andere KIA’s pijnlijk simpel konden hacken en stelen.
Nu gaat het over het webportal van KIA. De hackers konden van miljoenen auto’s de met internet verbonden features beïnvloeden. Niet gelijk in blinde paniek nu je KIA order cancellen of jouw dealer contacten. Inmiddels zou het veiligheidslek verholpen zijn door middel van een patch.
KIA’s waren pijnlijk simpel te hacken
De combinatie van kenteken en chassisnummer gaf vrij simpel (binnen 30 sec) toegang tot een aantal functies van de auto. Die vooral in de irritatiezone zouden kunnen zitten, gevaarlijk werd het nooit echt. Je moet dan denken aan het op slot en open kunnen doen van auto’s. Maar ook claxonneren. Vervelender werd het al dat ze de locatie van de auto konden uitlezen. Maar ze konden de auto ook op afstand starten.
Voor de gemiddelde stalker of autodief was dit dus potentieel een goudmijn. Maar zoals gezegd is niet elke auto meer zo gemakkelijk te benaderen op het KIA portal. Problem solved volgens de experts. Als beste stuurlui aan de wal zeggen wij: hoe dom kan je zijn. Zo, dan gaan we nu eindelijk maar eens die 2 factor authenticatie aanzetten op alles.
Update 8-10-2024: Inmiddels hebben we via KIA NL het officiële bericht mogen ontvangen dat het alleen auto’s in de VS betrof. Door Kia officieel in Europa geleverde auto’s zijn nooit onderdeel geweest van deze hack. Waarvan akte!
Foto: KIA Bongo, onhackbaar!
ghengiskhan zegt
Jeej! Opgelost!
Althans, deze software fout. Hoeveel fouten zijn er nog niet ontdekt?
Doe mij maar gewoon een fysieke sleutel en geen OTA-gedoe.
rwdftw zegt
Dan zou ik nog steeds geen KIA kopen: https://www.thedrive.com/news/how-thieves-are-stealing-hyundais-and-kias-with-just-a-usb-cable
Het moest allemaal goedkoop dus een startonderbreker? Naah, wie wil er nou een KIA stelen?
mashell zegt
Hoezo combinatie van chassisnummer en kenteken? Waarom zou Kia het kenteken moeten weten?
En als dit Kia betreft dan niet ook Hyundai? Dat backend is een onzichtbaar onderdeel en zou dus logischerwijs uniform moeten zijn.
pietertje123 zegt
In een ver verleden bij de pers intro van de BMW 8 serie waren er opeens een stuk of veel weg (8 of meer). Bleek dat er een master key was buitgemaakt of zoiets stoms. Terwijl er een hele paragraaf van het persbericht ging over de prima beveiliging van de auto…
VW’s met een zuignap te openen, subaru’s met identieke alarmsystemen op dezelfde plek ingebouwd: 1 dopje weg, draadje vissen en uit was het.
Het is van alle tijden, alleen nu kan het wel van grotere afstand en met meer tegelijk dus dat is wel gevaarlijker.
Gelukkig is die gehackte portal-bediening van de auto ook totaal ruk gemaakt en al kun je er inloggen: het is retetraag, totaal niet duidelijk wat er wel of niet gebeurd/gebeurd is toen je op een knop drukte en het ergste wat je kunt doen is de standverwarming aan of uitzetten. Nou joehoe.
Wat OT updates betreft: je stapt in en krijgt opeens een lap tekst om te bevestigen voordat je weg kan. Geen release-notes, geen informatie over wat er straks anders werkt of helemaal niet meer… Dus ga je maar accoord want je hebt dat ding niet voor niks en je moet voort. Overgeleverd aan de programmeurs met je 50.000 euro waggie.
jandevries zegt
Kan iemand mij vertellen welk gemak ik haal uit het feit dat een auto op afstand kan worden geopend en/of gestart?
rwdftw zegt
Op afstand je verwarming aanzetten zodat je in een warme ontdooide auto stapt is toch wel heel prettig.
pietertje123 zegt
en dat konden we al vanaf de E39 bijbestellen (of hacken als je een 530d had). Gewoon met een knopje op je autosleutel. Makkelijker, sneller en goedkoper. Sterker nog; ik verwarm de Outlander uit 2014 voor door 3x op een knopje te drukken ipv vijf minuten te zitten klooien met de app, verbinding, menu item, bevestigen etc.
Verder geen toegevoegde waarde. Thuis je navigatiebestemmingen voorbereiden en in 1 x naar de auto schieten is wel bedacht maar werkt vreselijk omslachtig. En na vertrek toch file dus dan maar onderweg invoeren. Of op de telefoon een andere navigatie app gebruiken.