起亚汽车曝严重破绽 仅凭车牌号就可远程控制汽车

近日，网络安保钻研人员披露了起亚汽车的一组已修复严重破绽，黑客仅凭车牌号即可在30秒内远程控制车辆关键性能，2013年之后的消费的起亚汽车都存在该破绽。

妇孺皆知，破绽的严重性与可应用的容易水平成正比，仅经过车牌号即可失掉车辆控制权无疑是迄今发现的最可怕的汽车安保破绽。

“这些攻打可在恣意配件性能的（起亚）车辆上远程口头，整个环节只有约30秒，无论车辆能否订阅了Kia Connect服务，”安保钻研人员Neiko Rivera、Sam Curry、Justin Rhinehart和Ian Carroll在报告中指出。

黑客可对（局部）受影响起亚车型实施的远程控制指令

此外，黑客还能在车主毫无发觉的状况下偷偷失掉车主隐衷信息，包含车主的姓名、电话号码、电子邮件地址和实践住址等。更为严重的是，黑客甚至可以在车主不知情的状况下，轻轻将自己减少为车辆的“隐形”第二用户。

破绽应用的关键

这些破绽存在于起亚经销商的基础设备（如“kiaconnect.kdealer[.]com”）中，该系统用于车辆激活。攻打者经过向该系统发送HTTP恳求，注册一个虚伪账户并生成访问令牌（token）。随后，攻打者可以经常使用这个令牌与另一个经销商API端点配合经常使用，再经过车辆识别号码（VIN）失掉车主的姓名、电话和电子邮件地址。

更令人担心的是，钻研人员发现，仅需收回四个便捷的HTTP恳求，攻打者就可以取得对车辆的齐全控制。攻打步骤如下：

整个环节悄无声息，从受益者的角度来看，车辆被访问或权限被修正时，并不会收就任何通知。攻打者可以经过车牌号取得车辆的VIN号，随后应用API主动跟踪车辆，甚至发送主动指令如解锁、启动或鸣笛等。

在一个假定的攻打场景中，黑客可以在一个定制控制台（编者：钻研者申明该工具平台从未发布，也不曾被恶意应用）中输入某起亚车辆的车牌号检索到车主信息，并在30秒后对车辆收回指令，例如远程解锁车辆、启动引擎或启动其余操作，带来极大的安保隐患。

为汽车行业敲响警钟

2024年6月钻研人员向起亚公司披露破绽，2024年8月14日这些破绽失掉修复，目前尚无证据标明这些破绽在实践中被应用过。

但这一令人震惊的发现为整个汽车行业敲响了警钟——自动汽车面临的网络安保要挟或者比绝大少数人构想的更为严重。关于车主来说，除了依赖汽车厂商的安保更新，活期审核软件形态并采取必要的防护措施雷同至关关键。

钻研人员总结道：“未来汽车将会曝出更多相似破绽，正如互联网平台破绽造成用户账户被接收一样，汽车制作商的破绽也可造成车辆遭受远程控制。”