近日，网络安全研究人员披露了起亚汽车的一组已修复严重漏洞，黑客仅凭车牌号即可在30秒内远程控制车辆关键功能，2013年之后的生产的起亚汽车都存在该漏洞。

众所周知，漏洞的严重性与可利用的容易程度成正比，仅通过车牌号即可获取车辆控制权无疑是迄今发现的最可怕的汽车安全漏洞。

“这些攻击可在任意硬件配置的（起亚）车辆上远程执行，整个过程只需约30秒，无论车辆是否订阅了Kia Connect服务，”安全研究人员Neiko Rivera、Sam Curry、Justin Rhinehart和Ian Carroll在报告中指出。

黑客可对（部分）受影响起亚车型实施的远程控制指令 来源：samcurry.net

此外，黑客还能在车主毫无察觉的情况下偷偷获取车主隐私信息，包括车主的姓名、电话号码、电子邮件地址和实际住址等。更为严重的是，黑客甚至可以在车主不知情的情况下，悄悄将自己添加为车辆的“隐形”第二用户。

漏洞利用的关键

这些漏洞存在于起亚经销商的基础设施（如“kiaconnect.kdealer[.]com”）中，该系统用于车辆激活。攻击者通过向该系统发送HTTP请求，注册一个虚假账户并生成访问令牌（token）。随后，攻击者可以使用这个令牌与另一个经销商API端点配合使用，再通过车辆识别号码（VIN）获取车主的姓名、电话和电子邮件地址。

更令人担忧的是，研究人员发现，仅需发出四个简单的HTTP请求，攻击者就可以获得对车辆的完全控制。攻击步骤如下：

• 生成经销商令牌，并从HTTP响应中提取“token”头信息；
• 获取受害者的电子邮件地址和电话号码；
• 利用泄露的电子邮件地址和VIN号，修改车主的访问权限，将攻击者设置为主要账户持有者；
• 最后，攻击者可以通过将自己控制的电子邮件地址添加为车辆的主要车主，从而执行任意远程命令。

整个过程悄无声息，从受害者的角度来看，车辆被访问或权限被修改时，并不会收到任何通知。攻击者可以通过车牌号获得车辆的VIN号，随后利用API被动跟踪车辆，甚至发送主动指令如解锁、启动或鸣笛等。

在一个假设的攻击场景中，黑客可以在一个定制控制台（编者：研究者声明该工具平台从未发布，也未曾被恶意利用）中输入某起亚车辆的车牌号检索到车主信息，并在30秒后对车辆发出指令，例如远程解锁车辆、启动引擎或进行其他操作，带来极大的安全隐患。

为汽车行业敲响警钟

2024年6月研究人员向起亚公司披露漏洞，2024年8月14日这些漏洞得到修复，目前尚无证据表明这些漏洞在实际中被利用过。

但这一令人震惊的发现为整个汽车行业敲响了警钟——智能汽车面临的网络安全威胁可能比绝大多数人想象的更为严重。对于车主来说，除了依赖汽车厂商的安全更新，定期检查软件状态并采取必要的防护措施同样至关重要。

研究人员总结道：“未来汽车将会曝出更多类似漏洞，正如互联网平台漏洞导致用户账户被接管一样，汽车制造商的漏洞也可导致车辆遭受远程控制。”

参考链接：

https://samcurry.net/hacking-kia

声明：本文来自GoUpSec，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。