購車者在購買新車時通常會有很多問題，但很少有人會考慮攻擊者是否可以僅使用車牌信息遠程控制他們的車輛。

然而，這正是數百萬起亞汽車所允許的，直到 8 月中旬，在獨立安全研究人員提醒他們注意該問題后，該汽車制造商修復了一個允許此類訪問的漏洞。

起亞汽車和SUV的遠程控制

該故障與同一組研究人員和其他人近年來發現的故障相似，肯定會引發人們對現代互聯汽車容易受到網絡攻擊的高度擔憂。

在 9 月 26 日的一份報告中，獨立研究員山姆·庫里 （Sam Curry） 表示，他在對幾年前他和同事在起亞、本田、英菲尼迪、日產、謳歌、寶馬、梅賽德斯等公司的車輛中發現的多個缺陷進行一些后續研究時發現了起亞的漏洞。

當時，研究人員展示了任何人都可以如何利用這些漏洞發出命令，以遠程鎖定和解鎖車輛、啟動和關閉發動機以及激活車輛的前燈和喇叭。一些漏洞允許攻擊者遠程接管車主的帳戶并鎖定他們，使其無法管理自己的車輛，而另一些漏洞則允許遠程訪問車輛的攝像頭，并能夠查看車內的實時圖像。一些黑客攻擊要求對手只擁有車輛識別號，有時甚至只需要車主的電子郵件地址。

汽車 API 協議的問題

與之前的許多缺陷一樣，Curry 和他的同事們發現的新問題與應用程序編程接口 （API） 協議有關，該協議支持在 Kia 汽車上執行 Internet-to-vehicle 命令。

研究人員發現，注冊起亞經銷商帳戶并將其驗證到該帳戶相對容易。然后，他們可以使用生成的訪問令牌來調用保留供經銷商使用的 API，用于車輛和賬戶查找、車主注冊和其他一些功能。

經過一番探索，研究人員發現，他們可以使用對經銷商 API 的訪問權限來輸入車輛的車牌信息并檢索數據，這些數據基本上允許他們控制關鍵的車輛功能。其中包括打開和關閉點火裝置、遠程鎖定和解鎖車輛、激活大燈和喇叭以及確定其確切地理位置等功能。

此外，他們能夠檢索所有者的個人身份信息 （PII） 并悄悄地將自己注冊為主賬戶持有人。這意味著他們可以控制通常只有所有者才能使用的功能。這些問題影響了從 2024 年和 2025 年一直到 2013 年的一系列起亞車型。對于較舊的車輛，研究人員開發了一種概念驗證工具，展示了任何人都可以輸入起亞的車牌信息，并在 30 秒內對車輛執行遠程命令。

“最近的發現突顯了互聯汽車中使用的復雜 API 協議（如 gRPC、MQTT 和 REST）所帶來的復雜挑戰，”API 安全公司 Wallarm 的首席執行官 Ivan Novikov 說。“汽車制造商必須優先加強其網絡安全措施，通過實施更強大的身份驗證方法和保護通信渠道來防止未經授權的訪問。”

Synopsys Software Integrity Group 網絡安全戰略和解決方案高級經理 Akhil Mittal 表示，這一新發現凸顯了互聯汽車中最大的漏洞通常與與外部世界通信的系統有關。他指出，始終連接的車輛遠程信息處理系統就是此類組件的一個例子。

“信息娛樂系統是另一個問題，因為它們連接到智能手機、應用程序和其他服務，為黑客進入汽車內部網絡創造了更多入口點，”Mittal 說。“最近的 Kia 黑客攻擊確實凸顯了 API 和云服務如何成為弱點;如果控制關鍵功能的 API 沒有得到適當的保護，它們很容易成為攻擊者的目標。

令人不安的汽車網絡不安全模式

起亞黑客攻擊的消息加劇了人們對聯網汽車的日益擔憂——而不僅僅是它們的安全性。今年早些時候，兩名美國高級立法者抨擊通用汽車、本田和現代從聯網汽車收集有關車主及其活動的廣泛數據。這兩位立法者，俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）和馬薩諸塞州民主黨參議員愛德華·馬基（Edward Markey）稱，這三家汽車制造商收集的數據是全行業面臨的一個癥狀性問題，凸顯了對汽車制造商行為進行更嚴格監督和審查的必要性。

“事實證明，汽車供應商在安全方面一次又一次地不負責任，我想知道在采取行動之前，我們還會看到多少，”軟件安全公司 ForAllSecure 的首席執行官 David Brumley 說。“昨天，普通司機擔心 [他們的] 遙控鑰匙被盜。如今，他們不得不擔心他們的經銷商或制造商是否有不受保護的 API。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明