近日,安全研究人员揭露了起亚汽车的一个严重安全漏洞,通过该漏洞,攻击者仅使用车牌号就能在30秒内远程控制车辆的关键功能。这些功能包括解锁、启动、鸣笛等,且这一过程对车辆的硬件配置没有任何限制,即使车辆没有订阅起亚连接服务也能被远程操控。
更令人担忧的是,攻击者可以悄无声息地获取车主的个人信息,包括姓名、电话号码、电子邮件地址和实际住址。通过这些信息,攻击者甚至可以在车主不知情的情况下,将自己添加为车辆的第二用户,从而获得对车辆的控制权。
研究人员通过构建工具以展示了这一漏洞的影响。攻击者输入起亚车辆的车牌号,通过一系列步骤,最终能够在不知道车主任何账户信息的情况下,执行车辆上的命令。这些步骤包括生成经销商令牌、检索车主的个人信息、修改车主的访问权限,以及将自己添加为车辆的主要用户。
研究人员演示被攻击控制的汽车
漏洞的关键在于起亚经销商基础设施的缺陷。攻击者利用了起亚经销商网站kiaconnect.kdealer.com的不安全设计,通过该网站,攻击者可以注册一个虚假的经销商账户并生成访问令牌。然后,利用这个令牌,攻击者可以调用后端经销商API,获取车主的个人信息,并最终控制车辆,其关键攻击步骤警示如下:
车牌号到VIN的转换
攻击者首先利用第三方API将车牌号转换为车辆识别码(VIN),这是远程控制车辆的第一步。车牌号作为车辆的唯一标识,其安全性本应得到更高级别的保护,但在此事件中却成为了攻击的突破口。
未授权的API访问
研究人员发现,通过模拟经销商的请求,可以访问起亚的内部API,获取车辆的敏感信息,这一发现暴露了API访问控制上的缺陷。
会话令牌的滥用
攻击者通过伪造的会话令牌,绕过了身份验证,执行了未授权的操作。会话令牌是用户身份的重要凭证,其安全性直接关系到用户数据和操作的安全性。
账户权限的篡改
攻击者通过降低原车主的账户权限,将自己添加为车辆的主要账户持有者,从而获得对车辆的完全控制。这一操作暴露了账户权限管理的漏洞,以及用户身份验证机制的不足。
这一漏洞的存在对车主的隐私和安全构成了巨大威胁。攻击者不仅可以远程控制车辆,还可以获取车主的敏感信息。
幸运的是,这一漏洞已经被修复,且目前尚没有证据表明它曾被恶意利用过。起亚团队在得知漏洞后迅速响应并完成修复。研究人员在确认漏洞已被修复后,于近日公开披露了这一漏洞以做警示。
正如研究人员总结所述:“汽车漏洞依然会存在,正如互联网平台漏洞导致用户账户被接管一样,汽车制造商的漏洞也可导致车辆遭受远程控制。”随着汽车智能化程度的提高,网络安全问题也变得越来越重要。网络安全不仅仅是一个技术问题,它还关系到用户的信任和整个行业的健康发展。汽车产业链企业需采取更加全面和前瞻性的安全策略,包括但不限于强化身份验证、加密敏感数据、定期进行安全审计和漏洞检测,以及建立快速响应机制来应对潜在的安全威胁。
文章参考:https://samcurry.net/hacking-kia
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。