起亚汽车曝严重漏洞，仅凭车牌便可远程控制起亚汽车

据Neiko Rivera和Sam Curry等安全研究人员发布的博客文章（该团队长期致力于汽车网络安全研究。此前已发现并报告过多个汽车厂商的网络安全漏洞），这次针对Kia汽车的攻击，并非像以往那种需要复杂技术手段（例如逆向工程汽车遥测单元代码、利用无线电信号传输恶意软件或利用CD光盘传播病毒等耗时费力的攻击方式），相反，这次攻击只是利用了一个Kia汽车网站（据报道为Kia用于客户和经销商管理联网汽车功能的网络门户）后端的一个简单漏洞。

这个漏洞允许攻击者绕过正常的用户身份验证机制，通过简单的HTTP请求，获取Kia汽车的车辆识别号码（VIN），进而远程控制车辆的联网功能，例如追踪车辆位置、解锁车门、鸣笛、启动引擎等等。除此之外，该漏洞还会被用来获取车主的大量个人信息，包括姓名、邮箱、电话号码、家庭住址，甚至过往行车路线，构成严重的隐私泄露风险。

更令人不安的是，此类漏洞并非Kia汽车独有。研究人员在过去两年中，已经发现了十几家汽车制造商存在类似的基于网络的漏洞。这些漏洞的共通点在于，它们大都利用了汽车厂商用于管理联网汽车功能的网站或API中的安全缺陷。这些漏洞的利用难度较低，对黑客的技术水平要求不高，这使得潜在的威胁更加广泛，后果更加严重。

该研究团队的发现暴露出当下部分汽车厂商在网络安全方面的不足——对车联网的安全性重视程度还远远不够，尚待加强对软件和网络安全的投入和管理。这不仅是Kia一家企业的问题，而是整个汽车行业需要认真对待的挑战。追求功能的丰富性与便利性的同时，必须将安全性作为同等重要的因素来考虑，才能真正让消费者安心地享受到科技带来的便利。

资讯来源：samcurry

转载请注明出处和本文链接

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！