Un gruppo di hacker etici ha messo in evidenza una grave falla di sicurezza che riguarda milioni di veicoli Kia connessi a Internet. L’hacking etico consiste nell’azione da parte di soggetti autorizzati a scoprire, comprendere e correggere le vulnerabilità della sicurezza in una rete o in un sistema informatico. Per farlo, si servono di tecniche che mirano a “bucare” un sistema, in questo caso, le auto Kia.
Gli hacker hanno scoperto che modelli vecchi come la Kia Sportage del 2014 e nuovi come la Carnival del 2025 potevano essere facilmente violati utilizzando semplicemente il numero di targa. Questo avrebbe permesso di controllare da remoto diverse funzionalità del veicolo. La vulnerabilità, però, è stata resa pubblica solo dopo che Kia ha confermato di aver risolto il problema.
Sam Curry, uno degli hacker coinvolti nell’analisi, ha spiegato il processo di hacking in un video, dimostrando il bug con uno strumento creato come prova di quanto sostenuto. Sul suo sito ha anche tracciato una cronologia dettagliata della vulnerabilità, dalle prime scoperte alle comunicazioni con Kia fino alla correzione definitiva.
Le funzionalità remote a cui era possibile accedere nei veicoli Kia includevano geolocalizzazione, blocco e sblocco delle portiere, avvio e spegnimento del motore, uso di clacson e fari, e controllo della telecamera di bordo. Funzioni simili a quelle già sfruttate nei modelli Nissan e Honda alcuni anni fa.
Anche se, sui modelli Kia più datati, le funzioni accessibili erano limitate, la geolocalizzazione rimaneva comunque utilizzabile. Queste operazioni potevano essere effettuate in meno di 30 secondi, anche se il veicolo non aveva un abbonamento attivo al servizio Kia Connect. Oltre al controllo del veicolo, gli hacker potevano accedere ai dati personali dei proprietari, come nome, numero di telefono, indirizzo email e indirizzo fisico.
Ancora più preoccupante il fatto che i malintenzionati potevano aggiungersi come utenti secondari del veicolo senza che il proprietario sapesse nulla, dato che non era prevista alcuna notifica di un eventuale attacco.
Curry ha spiegato che il team ha testato la vulnerabilità di Kia solo dopo aver scoperto, due anni fa, una falla di sicurezza simile che ha coinvolto “oltre una dozzina di case automobilistiche”. Il problema riguardava 15,5 milioni di veicoli, con possibilità di controllo remoto simili a quelle individuate nei modelli Kia. Il solo fatto che tali vulnerabilità siano ancora presenti nei modelli Kia dopo due anni solleva dubbi su quanto queste falle possano essere diffuse su moltissimi altri veicoli.