数百万起亚汽车仅凭车牌号就容易受到远程攻击
研究人员发现了一种仅以车牌号为起点即可远程接管任何起亚汽车的方法。
来源:Malwarebytes Labs 博客2024年6月,安全研究人员在起亚经销商门户网站上发现了一系列漏洞,使他们能够远程接管2013年以后建造的任何起亚车,而只需要一个车牌号。
安全研究人员根据研究人员:
“这些攻击都可以在大约30秒内远程执行任何配备硬件的车辆,无论它是否具有Active Kia Connect订阅。”
这怎么可能?
首先,重要的是要了解起亚的“经销商门户”是授权的起亚经销商可以将客户帐户与新车的VIN数量匹配的地方。对于客户帐户,起亚将在经销商处要求买方提供其电子邮件地址,并将注册链接发送到该地址,客户可以在其中设置新的起亚帐户或将其新购买的车辆添加到现有的起亚帐户中。
研究人员发现,通过发送专门精心设计的请求,他们可以自己创建经销商帐户。经过更多操作后,他们能够访问所有经销商端点,这使他们可以访问客户数据,例如名称,电话号码和电子邮件地址。
作为新的“经销商”,安全研究人员还可以按车辆识别号(VIN)编号进行搜索,这是车辆的唯一标识符。凭借VIN号码和合法所有者的电子邮件地址,研究人员能够将车辆的所有者降低,以便他们可以将自己添加为主要帐户持有人。
不幸的是,应有的所有者不会收到任何通知他们的车辆已被访问或修改其访问权限。
,要找到汽车的VIN数量,您需要对车辆进行物理访问,对吗?并非完全。
取决于车辆以及起亚连接是否活跃,主要帐户持有人能够远程锁定/解锁,开始/停止,鸣叫,并找到车辆。