图片来源:
Sam Curry
安全研究人员发现汽车大厂Kia面向客户的网站有项漏洞,可被攻击者取得车主重要资讯,只要输入车牌号码就能控制车子,包括远端定位、解锁或启动车子。所幸Kia已经修补了这项漏洞。
资安研究人员Sam Curry等人今年6月发现Kia数项漏洞,包含一个客户网站(owners.kia.com)漏洞,后者能让攻击者建立一个骇客App,在大约30秒内骇入车子,远端控制主要功能。攻击者还能暗中取得车主个资包括姓名、电话、电子邮件与地址,利用这些资讯在车主不知情下,取得车辆控制权。
研究人员在两年前搜罗出许多车厂IT系统的漏洞,今年决定重新审视车厂们是否解决问题,而Kia是这次行动的首个目标。研究人员在Kia经销商网站冒充登录新经销商,验证新帐号,取得有效存取令牌后,以此新令牌呼叫后台API,从回传的HTTP回应取得必要参数,存取Kia经销商上的所有经销商端点。研究人员还可利用电邮和取得的必要参数,降级受害车主等级,加入自己的电邮信箱,绑定并设为车子的主要用户。最终,他们取得Kia车辆控制权,执行想要的控制。
在示范影片中,研究人员照下车牌输入开发的攻击程式,即可成功存取车辆,并执行部份功能,像是车辆定位、开车门、发动车子、按喇叭等。
根据研究人员列表,显示从2013年到2025年最新款,数十款车型都受到本漏洞影响,几乎所有车款都能远端车辆定位、开车门、发动车子、按喇叭、闪方向灯,其中数款还可以远端启动摄影机。
Kia在获得通报后,已经在8月修补了这项漏洞。研究人员从未发布这骇客工具,Kia也为研究团队背书,他们并未恶意滥用这漏洞。