黑客仅使用车牌号即可远程控制起亚汽车

网络安全研究人员披露了起亚汽车中目前已修补的一组漏洞，如果成功利用这些漏洞，只需使用车牌就可以远程控制汽车的关键功能。

安全研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll表示：“这些攻击可以在大约 30 秒内对任何配备硬件的车辆远程执行，无论该车辆是否拥有有效的 Kia Connect 订阅。”

这些问题影响了几乎所有 2013 年后生产的车辆，甚至让攻击者秘密获取敏感信息，包括受害者的姓名、电话号码、电子邮件地址和实际地址。本质上，攻击者可能会滥用这一功能，在车主不知情的情况下将自己添加为汽车上“隐形”的第二个用户。

研究的关键在于，这些问题利用用于车辆激活的起亚经销商基础设施（“kiaconnect.kdealer[.]com”）通过 HTTP 请求注册一个虚假账户，然后生成访问令牌。

随后，该令牌与对经销商 APIGW 端点的另一个 HTTP 请求以及汽车的车辆识别号 (VIN) 结合使用，以获取车主的姓名、电话号码和电子邮件地址。

视频总被判违规，就不上传了。

此外，研究人员发现，只需发出四个 HTTP 请求，并最终执行互联网到车辆的命令，就有可能获得受害者车辆的访问权限 -

• 使用上述方法生成经销商令牌并从 HTTP 响应中检索“令牌”标头

• 获取受害者的电子邮件地址和电话号码

• 使用泄露的电子邮件地址和 VIN 号码修改所有者的先前访问权限，以将攻击者添加为主要帐户持有人

• 将攻击者控制的电子邮件地址添加到受害车辆，作为车辆的主要所有者，从而允许运行任意命令

研究人员指出：“从受害者的角度来看，没有收到有关他们的车辆已被访问或访问权限被修改的通知。”

“攻击者可以解析某人的车牌，通过 API 输入他们的 VIN，然后被动跟踪他们并发送解锁、启动或鸣喇叭等主动命令。”

在假设的攻击场景中，恶意行为者可以在自定义仪表板中输入起亚汽车的车牌，检索受害者的信息，然后在大约 30 秒后对车辆执行命令。

在 2024 年 6 月负责任地披露这些漏洞后，起亚于 2024 年 8 月 14 日解决了这些漏洞。没有证据表明这些漏洞曾在野外被利用。

研究人员表示：“汽车将继续存在漏洞，因为就像 Meta 可以通过更改代码让某人接管你的 Facebook 账户一样，汽车制造商也可以对你的汽车做同样的事情。”