Sam Curry
安全研究人員發現汽車大廠Kia面向客戶的網站有項漏洞,可被攻擊者取得車主重要資訊,只要輸入車牌號碼就能控制車子,包括遠端定位、解鎖或啟動車子。所幸Kia已經修補了這項漏洞。
資安研究人員Sam Curry等人今年6月發現Kia數項漏洞,包含一個客戶網站(owners.kia.com)漏洞,後者能讓攻擊者建立一個駭客App,在大約30秒內駭入車子,遠端控制主要功能。攻擊者還能暗中取得車主個資包括姓名、電話、電子郵件與地址,利用這些資訊在車主不知情下,取得車輛控制權。
研究人員在兩年前搜羅出許多車廠IT系統的漏洞,今年決定重新審視車廠們是否解決問題,而Kia是這次行動的首個目標。研究人員在Kia經銷商網站冒充登錄新經銷商,驗證新帳號,取得有效存取令牌後,以此新令牌呼叫後臺API,從回傳的HTTP回應取得必要參數,存取Kia經銷商上的所有經銷商端點。研究人員還可利用電郵和取得的必要參數,降級受害車主等級,加入自己的電郵信箱,綁定並設為車子的主要用戶。最終,他們取得Kia車輛控制權,執行想要的控制。
在示範影片中,研究人員照下車牌輸入開發的攻擊程式,即可成功存取車輛,並執行部份功能,像是車輛定位、開車門、發動車子、按喇叭等。
根據研究人員列表,顯示從2013年到2025年最新款,數十款車型都受到本漏洞影響,幾乎所有車款都能遠端車輛定位、開車門、發動車子、按喇叭、閃方向燈,其中數款還可以遠端啟動攝影機。
Kia在獲得通報後,已經在8月修補了這項漏洞。研究人員從未發布這駭客工具,Kia也為研究團隊背書,他們並未惡意濫用這漏洞。
熱門新聞
2024-10-13
2024-10-14
2024-10-13
2024-10-11
2024-10-11
2024-10-12