數百萬輛Kia汽車面臨遠端駭客攻擊漏洞：僅需車牌資訊即可入侵

2024 / 10 / 07

編輯部

購買新車時，消費者通常會考慮諸多因素，但很少人會想到駭客是否能僅憑車牌資訊就遠端控制他們的愛車。

然而，這正是數百萬輛 Kia 汽車在今年8月中旬前所面臨的問題。獨立資安研究人員向 Kia 汽車通報後，該汽車製造商立即修復了這個允許遠端存取的漏洞。

Kia汽車和SUV的遠端控制風險

有研究員在9月26日的報告中指出，他在對幾年前發現的多個涉及 Kia、本田、Infiniti、Nissan、Acura、BMW、賓士等多家汽車品牌的車輛漏洞進行後續研究時，發現了 Kia 汽車的新漏洞。

當時，研究人員更展示了如何遠端操控車輛，包括鎖定和解鎖、啟動和關閉引擎，以及控制頭燈和喇叭。某些漏洞更為嚴重，允許攻擊者遠端接管車主帳戶並將其鎖定，使車主失去對車輛的控制權。有些漏洞甚至能讓駭客遠端存取車內攝像頭，查看即時影像。最令人憂心的是，這些攻擊有時只需要車輛識別號碼（VIN），甚至僅憑車主的電子郵件地址就能實施。

汽車API的潛在風險

研究人員發現，註冊並驗證 Kia 經銷商帳戶的過程相對簡單。隨後，他們利用生成的存取權杖呼叫原本僅限經銷商使用的 API，進行車輛和帳戶查詢、車主註冊等多項操作。甚至可利用對經銷商 API 的存取權，僅憑車牌資訊就能檢索到控制關鍵車輛功能的資料。這些功能包括遠端開關點火系統、鎖解車輛、控制頭燈和喇叭，以及確定車輛的精確位置。

更令人憂心的是，研究人員不僅能檢索車主的個人識別資訊（PII），還能悄悄地將自己註冊為主要帳戶持有人，從而控制通常僅限車主使用的功能。這些漏洞影響了2013年至2025年間的多款 Kia 車型。針對較舊的車款，研究人員甚至開發了一個概念驗證工具，展示任何人只需輸入 Kia 車輛的車牌資訊，便能在30秒內對車輛執行遠端指令。

API 資安公司進一步指出，這次發現凸顯了連網汽車中使用複雜 API 協定（如 gRPC、MQTT 和 REST）所帶來的巨大挑戰。汽車製造商必須將加強資安措施列為首要任務，採取更強大的身份驗證方法，並確保通訊管道的安全，以防止未經授權的存取。

此外，資訊娛樂系統也是一個令人憂慮的領域。這些系統與智慧型手機、應用程式和其他服務相連，為駭客進入汽車內部網路創造了更多入口點。近期的 Kia 汽車駭客事件清楚地凸顯了API和雲端服務可能成為弱點：若控制關鍵功能的API未獲妥善保護，便可能成為攻擊者的輕易目標。

本文轉載自 DarkReading。

Kia 汽車資安遠端控制風險 PII API