起亚汽车存在一个严重漏洞,黑客可以利用车牌远程控制汽车。该漏洞已得到修补,但它凸显了联网汽车遭受网络攻击的威胁日益严重。
起亚汽车中发现了一个严重的安全漏洞,黑客只需使用车牌即可远程控制关键功能。安全研究人员Neiko Rivera、 Sam Curry、Justin Rhinehart和Ian Carroll发现了一组漏洞,这些漏洞可能被利用来通过利用起亚经销商基础设施来未经授权访问起亚汽车,
此次攻击涉及攻击者远程注册虚假账户并生成访问令牌。然后,这些令牌将与对经销商APIGW(API网关)端点的另一个HTTP请求以及车辆的VIN(车辆识别号)结合使用,以获取车主的姓名、电话号码和电子邮件地址,从而可能在车主不知情的情况下将自己添加为汽车上的“隐形”第二用户。
研究人员发现,通过执行四个HTTP请求和互联网到车辆命令即可访问受害者的车辆。这些命令包括生成经销商令牌、获取受害者的电子邮件和电话号码、使用泄露的电子邮件地址和VIN修改车主的先前访问权限以及将攻击者添加为车辆的主要车主。受害者不会收到有关其访问权限修改的任何通知。以下是哪些功能易受攻击的简要说明:
远程锁定/解锁:他们可以锁定或解锁门。
对车辆进行地理定位:黑客可以精确定位汽车的位置。
远程启动/停止:他们可以远程启动或关闭发动机。
遥控喇叭/灯:它们可以启动汽车的喇叭和灯。
远程摄像头:在某些情况下,他们甚至可以访问汽车的摄像头。
假设的攻击场景可能允许恶意攻击者输入起亚汽车的车牌,检索受害者的信息,并在30秒后执行命令。该漏洞允许黑客远程启动或停止发动机,可能窃取车辆、造成损坏或危及车内人员。它影响了各种起亚汽车,包括2013年以后生产的车型。这意味着相当多的汽车可能面临风险。
起亚在2024年7月进行了负责任的披露后,于2024年8月解决了这些问题。虽然没有证据表明存在野外利用,但研究人员警告说,汽车制造商可能会在 Meta 中引入类似的漏洞,从而允许某人接管车辆的信息。随着汽车的联网程度越来越高,制造商必须优先考虑安全措施,以保护其客户免受潜在威胁。
这不是Sam Curry这样的白帽黑客团队第一次彻底破坏联网汽车的安全。2022年12月,黑客利用应用程序漏洞,仅通过了解车辆识别号,就入侵了本田和Nissa车辆。
Synopsys软件完整性小组高级安全咨询经理Akhil Mittal对此评论道:“起亚的漏洞不仅仅是一个技术缺陷,更是整个汽车行业的警示信号。它表明现代汽车已成为网络犯罪分子的主要目标,从实体盗窃转向数字利用。黑客只需使用车牌号就能解锁、跟踪甚至启动你的汽车,这听起来像科幻小说,但它现在正在发生。”
Akhil进一步解释道:“起亚的快速修复令人鼓舞,但它提出了一个更大的问题:汽车行业是否已准备好应对这些高科技威胁?这不仅仅是控制汽车,它还暴露了个人数据。只需几个简单的步骤,黑客就可以在车主不知情的情况下访问敏感信息、更改所有权并控制车辆。几乎所有2013年后生产的起亚车型都受到影响,很明显,现代汽车现在是联网设备,容易受到与我们的手机和电脑相同的网络安全风险。”
“汽车制造商必须像重视碰撞安全一样重视网络安全。汽车不再只是机器,而是装载了需要保护的数据的智能设备。定期更新软件、加强加密以及与驾驶员更好的沟通至关重要。如果行业不尽快采取行动,这些风险可能会成为日常驾驶员的问题,”他警告说。
评论已关闭。