起亞汽車曝嚴重漏洞:僅憑車牌號就可遠程控制汽車
責編:gltian |2024-09-27 10:44:07近日,網絡安全研究人員披露了起亞汽車的一組已修復嚴重漏洞,黑客僅憑車牌號即可在30秒內遠程控制車輛關鍵功能,2013年之后的生產的起亞汽車都存在該漏洞。
眾所周知,漏洞的嚴重性與可利用的容易程度成正比,僅通過車牌號即可獲取車輛控制權無疑是迄今發現的最可怕的汽車安全漏洞。
“這些攻擊可在任意硬件配置的(起亞)車輛上遠程執行,整個過程只需約30秒,無論車輛是否訂閱了Kia Connect服務,”安全研究人員Neiko Rivera、Sam Curry、Justin Rhinehart和Ian Carroll在報告中指出。
黑客可對(部分)受影響起亞車型實施的遠程控制指令 來源:samcurry.net
此外,黑客還能在車主毫無察覺的情況下偷偷獲取車主隱私信息,包括車主的姓名、電話號碼、電子郵件地址和實際住址等。更為嚴重的是,黑客甚至可以在車主不知情的情況下,悄悄將自己添加為車輛的“隱形”第二用戶。
漏洞利用的關鍵
這些漏洞存在于起亞經銷商的基礎設施(如“kiaconnect.kdealer[.]com”)中,該系統用于車輛激活。攻擊者通過向該系統發送HTTP請求,注冊一個虛假賬戶并生成訪問令牌(token)。隨后,攻擊者可以使用這個令牌與另一個經銷商API端點配合使用,再通過車輛識別號碼(VIN)獲取車主的姓名、電話和電子郵件地址。
更令人擔憂的是,研究人員發現,僅需發出四個簡單的HTTP請求,攻擊者就可以獲得對車輛的完全控制。攻擊步驟如下:
- 生成經銷商令牌,并從HTTP響應中提取“token”頭信息;
- 獲取受害者的電子郵件地址和電話號碼;
- 利用泄露的電子郵件地址和VIN號,修改車主的訪問權限,將攻擊者設置為主要賬戶持有者;
- 最后,攻擊者可以通過將自己控制的電子郵件地址添加為車輛的主要車主,從而執行任意遠程命令。
整個過程悄無聲息,從受害者的角度來看,車輛被訪問或權限被修改時,并不會收到任何通知。攻擊者可以通過車牌號獲得車輛的VIN號,隨后利用API被動跟蹤車輛,甚至發送主動指令如解鎖、啟動或鳴笛等。
在一個假設的攻擊場景中,黑客可以在一個定制控制臺(編者:研究者聲明該工具平臺從未發布,也未曾被惡意利用)中輸入某起亞車輛的車牌號檢索到車主信息,并在30秒后對車輛發出指令,例如遠程解鎖車輛、啟動引擎或進行其他操作,帶來極大的安全隱患。
為汽車行業敲響警鐘
2024年6月研究人員向起亞公司披露漏洞,2024年8月14日這些漏洞得到修復,目前尚無證據表明這些漏洞在實際中被利用過。
但這一令人震驚的發現為整個汽車行業敲響了警鐘——智能汽車面臨的網絡安全威脅可能比絕大多數人想象的更為嚴重。對于車主來說,除了依賴汽車廠商的安全更新,定期檢查軟件狀態并采取必要的防護措施同樣至關重要。
研究人員總結道:“未來汽車將會曝出更多類似漏洞,正如互聯網平臺漏洞導致用戶賬戶被接管一樣,汽車制造商的漏洞也可導致車輛遭受遠程控制。”
參考鏈接:
https://samcurry.net/hacking-kia