Une analyse récente a mis en lumière des vulnérabilités critiques dans les systèmes d’infotainment des véhicules KIA, suscitant l’inquiétude au sein de la communauté de la cybersécurité automobile.
Les chercheurs en sécurité ont découvert que le firmware de l’infotainment de KIA ne validait pas correctement certains formats de fichiers image, notamment les fichiers PNG. Cette faiblesse permet aux attaquants d’intégrer des charges utiles exécutables dans les images, déclenchant une exécution de code à distance lorsque ces images sont traitées par le système.
L’attaque exploite une vulnérabilité de dépassement de tampon dans la bibliothèque de traitement d’image utilisée par le système d’infotainment de KIA. Lorsqu’un fichier PNG malveillant est chargé, que ce soit via USB, Bluetooth ou mise à jour OTA, le parseur du système gère mal les données de l’image, permettant ainsi au code de l’attaquant d’écraser des régions mémoire critiques.
Chaîne d’attaque :
- Accès initial : L’attaquant livre un fichier PNG malveillant au véhicule (par exemple, via une clé USB ou une mise à jour compromise).
- Exécution de la charge utile : Le système d’infotainment analyse l’image, déclenchant le dépassement de tampon.
- Escalade de privilèges : Le code injecté s’exécute avec des privilèges système, permettant un contrôle total de l’unité centrale.
- Impact potentiel : Les attaquants peuvent manipuler les réglages du véhicule, accéder à des données personnelles ou pivoter vers d’autres réseaux du véhicule comme le bus CAN.
Cet article vise à informer sur les risques de sécurité liés aux systèmes d’infotainment des véhicules KIA et à alerter les parties prenantes sur les potentielles conséquences pour la sécurité des utilisateurs.
🔗 Source originale : https://gbhackers.com/critical-vulnerabilities-in-kia-infotainment/