近日,安全研究员 Sam Curry 及其团队发现,起亚车主网站中存在严重漏洞,可能允许攻击者远程控制数百万辆汽车。通过这些漏洞,攻击者在仅使用车牌信息的情况下,可以在 30 秒内对车辆的关键功能进行控制,并收集车主的个人信息。
漏洞详情与潜在风险
这些漏洞让攻击者能够通过车牌信息,在未通知车主的情况下向车辆发送任意命令。攻击者不仅能控制车辆,还可以访问车主的个人数据,包括姓名、地址、电子邮件地址和电话号码。同时,攻击者甚至可以创建第二个用户并替换车主的访问权限,完全掌控车辆。
漏洞工作原理
Curry 解释说,起亚车主网站依赖后端反向代理重定向命令到负责执行的 API,这为攻击者提供了机会。通过利用这些机制,攻击者可以远程发出解锁、启动甚至按喇叭等命令。此外,起亚经销商网站也存在类似漏洞,攻击者可以通过伪造访问令牌来调用后端经销商 API,获取与车辆查找、帐户查找等相关的敏感信息。
研究人员通过注册到起亚经销商网站,生成访问令牌,并使用修改后的渠道标头绕过验证,成功访问车主的个人信息。更为严重的是,攻击者能够将自己添加为主要帐户持有人,从而完全控制车辆。
PoC 演示与影响
研究团队还构建了一个概念验证(PoC)仪表板,展示了攻击者如何输入车牌号,检索车主信息并远程控制车辆。根据研究人员的说法,这些漏洞影响几乎所有 2013 年后制造的起亚汽车。
Curry 表示,从车主的角度来看,他们完全无法察觉车辆被访问或访问权限被修改,攻击者可以被动追踪车辆,并主动发送各种命令,带来巨大的安全隐患。
起亚的回应
这一系列问题于 2024 年 6 月报告给起亚,起亚迅速承认了这些漏洞并着手修复,并于 2024 年 8 月中旬实施。
总结
随着汽车智能化的快速发展,联网功能为用户带来了更多便利的同时,也带来了新的安全风险。车主和汽车制造商需要更加重视网络安全,确保车辆及个人数据的安全防护。起亚漏洞事件提醒我们,未来的汽车安全不仅仅是机械防护,还需要对数字和网络威胁有足够的重视和应对。
车主们应时刻保持警惕,并及时更新厂商提供的安全补丁,确保车辆处于最佳的安全状态。
