起亚汽车曝严重漏洞，仅凭车牌便可远程控制起亚汽车

看雪学苑 · 公众号 · 互联网安全 · 2024-09-27 17:59

主要观点总结

文章介绍了近期发现的Kia汽车网络安全漏洞，该漏洞允许攻击者通过简单的HTTP请求远程控制车辆并获取车主个人信息。此漏洞存在于Kia汽车网站后端，攻击者可绕过用户身份验证机制获取车辆识别号码（VIN），进而实施一系列控制。此外，研究人员在过去两年中发现了多家汽车制造商存在类似的网络漏洞，这些漏洞主要源于汽车厂商管理联网汽车功能的网站或API中的安全缺陷。文章指出汽车厂商在网络安全方面的不足，并强调在追求功能丰富性的同时，必须重视安全性。

关键观点总结

关键观点1: Kia汽车存在网络安全漏洞

攻击者可利用该漏洞远程控制车辆并获取车主个人信息。

关键观点2: 漏洞利用方式简单

攻击者可通过简单的HTTP请求绕过身份验证机制获取车辆识别号码（VIN）。

关键观点3: 存在类似漏洞的汽车制造商不止Kia一家

过去两年中，研究人员发现了十几家汽车制造商存在基于网络的类似漏洞，这些漏洞主要源于汽车厂商管理联网汽车功能的网站或API中的安全缺陷。

关键观点4: 汽车行业在网络安全方面存在不足

文章指出，汽车厂商对车联网安全性的重视程度不够，需要加强软件和网络安全投入和管理。

正文

不妨想象一下，你正在驾驶你的爱车，却仅仅因为车牌暴露，就可能被他人远程控制，同时你的敏感个人信息也会完全泄露。 ——这并非科幻电影情节，而是近期存在于Kia汽车上的真实漏洞。

据Neiko Rivera和Sam Curry等安全研究人员发布的博客文章（该团队长期致力于汽车网络安全研究。此前已发现并报告过多个汽车厂商的网络安全漏洞），这次针对Kia汽车的攻击，并非像以往那种需要复杂技术手段（例如逆向工程汽车遥测单元代码、利用无线电信号传输恶意软件或利用CD光盘传播病毒等耗时费力的攻击方式），相反，这次攻击只是利用了一个Kia汽车网站（据报道为Kia用于客户和经销商管理联网汽车功能的网络门户）后端的一个简单漏洞。

这个漏洞允许攻击者绕过正常的用户身份验证机制，通过简单的HTTP请求，获取Kia汽车的车辆识别号码（VIN），进而远程控制车辆的联网功能，例如追踪车辆位置、解锁车门、鸣笛、启动引擎等等。除此之外，该漏洞还会被用来获取车主的大量个人信息，包括姓名、邮箱、电话号码、家庭住址，甚至过往行车路线，构成严重的隐私泄露风险。

更令人不安的是，此类漏洞并非Kia汽车独有。研究人员在过去两年中，已经发现了十几家汽车制造商存在类似的基于网络的漏洞。这些漏洞的共通点在于，它们大都利用了汽车厂商用于管理联网汽车功能的网站或API中的安全缺陷。这些漏洞的利用难度较低，对黑客的技术水平要求不高，这使得潜在的威胁更加广泛，后果更加严重。

该研究团队的发现暴露出当下部分汽车厂商在网络安全方面的不足——对车联网的安全性重视程度还远远不够，尚待加强对软件和网络安全的投入和管理。这不仅是Kia一家企业的问题，而是整个汽车行业需要认真对待的挑战。追求功能的丰富性与便利性的同时，必须将安全性作为同等重要的因素来考虑，才能真正让消费者安心地享受到科技带来的便利。

编辑：左右里

资讯来源：samcurry

转载请注明出处和本文链接

﹀

球分享

球点赞