2024-09-29 06:58 来源:明日科学网
一组独立的安全研究人员发现了起亚汽车经销商门户网站的重大漏洞,数百万辆汽车可能受到黑客攻击。
该漏洞于2024年6月被发现,攻击者只需使用目标车辆的车牌号码,就可以远程控制2013年以后生产的起亚汽车。
这些配备了远程硬件的车辆,可以在30秒内被追踪、解锁,甚至启动,无论它们是否拥有活跃的起亚Connect订阅。
这些漏洞是由一群网络安全专家发现的,其中包括著名的安全研究员和漏洞赏金猎人萨姆·库里(Sam Curry)。
在一篇博客文章中,Sam详细介绍了团队如何通过在Kia的kiaconnect.kdealer.com门户网站上注册经销商帐户来访问Kia的后端经销商API。
通过身份验证后,他们获得了一个访问令牌,其中提供了有关车主的关键数据,例如他们的姓名、电话号码、电子邮件和实际地址。
这种访问还允许他们远程控制车辆的基本功能,包括锁门和开锁、启动和停止发动机、按喇叭和跟踪汽车的位置。
在一个特别令人震惊的演示中,研究人员创造了一个工具,可以让他们输入车辆的车牌,并在几秒钟内控制这些特征。
山姆·库里说:“从受害者的角度来看,他们的车辆没有被进入或权限被修改的通知。”
研究人员可以在没有主人知情或同意的情况下进行这些操作。
这并不是萨姆·库里的研究小组第一次发现汽车行业的漏洞。
2022年,同一团队发现了包括法拉利、宝马、保时捷和劳斯莱斯在内的十几家汽车制造商的缺陷,影响了1500多万辆汽车。
这些漏洞允许潜在的攻击者定位车辆,禁用启动器并获得远程访问权限。
这些事件凸显了汽车行业一个持续存在的问题,即汽车联网程度的提高使其面临网络威胁。
他解释说,这些缺陷源于汽车制造商如何设计和管理他们的数字系统,并将这种情况与社交媒体平台进行了比较。
他在博客上的一份声明中说:“就像textarea可以引入一个代码更改,让别人接管你的Facebook账户一样,汽车制造商也可以引入漏洞,让黑客能够访问汽车。”
起亚汽车系统的漏洞主要围绕其经销商门户网站,该网站提供远程管理车辆的功能。
通过利用门户后端api中的漏洞,研究人员能够收集敏感信息并远程控制汽车。
例如,攻击者可以在API中输入车辆的VIN(车辆识别号码),并在车主不知情的情况下立即跟踪或解锁汽车。
研究人员还强调,该漏洞可能允许恶意行为者在不通知主要车主的情况下将自己添加为车辆的次要用户。
这将使他们能够在较长时间内保持对车辆的控制,从而进一步加剧安全风险。
为了验证漏洞的严重性,研究小组在多辆车上进行了测试,包括出租汽车和朋友的汽车。
每一次,他们都成功地绕过了安全协议,进入了汽车。
“如果有人在路上挡住你的路,你可以扫描他们的车牌,然后随时知道他们在哪里,然后闯入他们的车,”萨姆说,他强调了这个漏洞带来的危险。
虽然该团队没有向公众发布这个工具,但他们警告说,如果这个漏洞没有被报告,恶意行为者可能会利用它来窃取或跟踪车辆。
除了能够控制车辆的基本功能外,黑客还可以利用收集到的个人信息来骚扰或跟踪车主。
安全研究人员在2024年6月发现该漏洞后不久就提醒起亚注意该漏洞。
据报道,起亚已经修复了这个漏洞,尽管该公司对调查结果的公开回应很慢。
在与WIRED的简短沟通中,起亚证实已经解决了这个问题,但表示仍在调查该漏洞的全部范围。
然而,该公司没有提供任何进一步的更新。
这一最新发现突显了汽车制造商的普遍担忧,以及联网汽车带来的日益增长的风险。
随着越来越多的汽车依赖基于互联网的便利功能,这些系统也成为黑客的主要目标。
研究人员得出结论,除非汽车制造商采取更重要的措施来保护他们的系统,否则漏洞将继续出现。
虽然起亚汽车已经修补了漏洞,但这次事件给汽车行业敲响了警钟。
随着汽车日益数字化和互联化,制造商必须优先考虑网络安全。
网联汽车带来的便利不应以牺牲驾驶员的安全和隐私为代价。
与此同时,消费者可能会怀疑他们的汽车是否真正安全,或者下一个数字漏洞是否会使他们处于危险之中。
