近日，網(wǎng)絡(luò)安全研究人員披露了起亞汽車的一組已修復(fù)嚴(yán)重漏洞，黑客僅憑車牌號即可在30秒內(nèi)遠(yuǎn)程控制車輛關(guān)鍵功能，2013年之后的生產(chǎn)的起亞汽車都存在該漏洞。

眾所周知，漏洞的嚴(yán)重性與可利用的容易程度成正比，僅通過車牌號即可獲取車輛控制權(quán)無疑是迄今發(fā)現(xiàn)的最可怕的汽車安全漏洞。

“這些攻擊可在任意硬件配置的（起亞）車輛上遠(yuǎn)程執(zhí)行，整個過程只需約30秒，無論車輛是否訂閱了Kia Connect服務(wù)，”安全研究人員Neiko Rivera、Sam Curry、Justin Rhinehart和Ian Carroll在報告中指出。

黑客可對（部分）受影響起亞車型實(shí)施的遠(yuǎn)程控制指令

此外，黑客還能在車主毫無察覺的情況下偷偷獲取車主隱私信息，包括車主的姓名、電話號碼、電子郵件地址和實(shí)際住址等。更為嚴(yán)重的是，黑客甚至可以在車主不知情的情況下，悄悄將自己添加為車輛的“隱形”第二用戶。

漏洞利用的關(guān)鍵

這些漏洞存在于起亞經(jīng)銷商的基礎(chǔ)設(shè)施（如“kiaconnect.kdealer[.]com”）中，該系統(tǒng)用于車輛激活。攻擊者通過向該系統(tǒng)發(fā)送HTTP請求，注冊一個虛假賬戶并生成訪問令牌（token）。隨后，攻擊者可以使用這個令牌與另一個經(jīng)銷商API端點(diǎn)配合使用，再通過車輛識別號碼（VIN）獲取車主的姓名、電話和電子郵件地址。

更令人擔(dān)憂的是，研究人員發(fā)現(xiàn)，僅需發(fā)出四個簡單的HTTP請求，攻擊者就可以獲得對車輛的完全控制。攻擊步驟如下：

• 生成經(jīng)銷商令牌，并從HTTP響應(yīng)中提取“token”頭信息；
• 獲取受害者的電子郵件地址和電話號碼；
• 利用泄露的電子郵件地址和VIN號，修改車主的訪問權(quán)限，將攻擊者設(shè)置為主要賬戶持有者；
• 最后，攻擊者可以通過將自己控制的電子郵件地址添加為車輛的主要車主，從而執(zhí)行任意遠(yuǎn)程命令。

整個過程悄無聲息，從受害者的角度來看，車輛被訪問或權(quán)限被修改時，并不會收到任何通知。攻擊者可以通過車牌號獲得車輛的VIN號，隨后利用API被動跟蹤車輛，甚至發(fā)送主動指令如解鎖、啟動或鳴笛等。

在一個假設(shè)的攻擊場景中，黑客可以在一個定制控制臺（編者：研究者聲明該工具平臺從未發(fā)布，也未曾被惡意利用）中輸入某起亞車輛的車牌號檢索到車主信息，并在30秒后對車輛發(fā)出指令，例如遠(yuǎn)程解鎖車輛、啟動引擎或進(jìn)行其他操作，帶來極大的安全隱患。

為汽車行業(yè)敲響警鐘

2024年6月研究人員向起亞公司披露漏洞，2024年8月14日這些漏洞得到修復(fù)，目前尚無證據(jù)表明這些漏洞在實(shí)際中被利用過。

但這一令人震驚的發(fā)現(xiàn)為整個汽車行業(yè)敲響了警鐘——智能汽車面臨的網(wǎng)絡(luò)安全威脅可能比絕大多數(shù)人想象的更為嚴(yán)重。對于車主來說，除了依賴汽車廠商的安全更新，定期檢查軟件狀態(tài)并采取必要的防護(hù)措施同樣至關(guān)重要。

研究人員總結(jié)道：“未來汽車將會曝出更多類似漏洞，正如互聯(lián)網(wǎng)平臺漏洞導(dǎo)致用戶賬戶被接管一樣，汽車制造商的漏洞也可導(dǎo)致車輛遭受遠(yuǎn)程控制。”