https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵

2024 / 10 / 07
編輯部
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
購買新車時,消費者通常會考慮諸多因素,但很少人會想到駭客是否能僅憑車牌資訊就遠端控制他們的愛車。

然而,這正是數百萬輛 Kia 汽車在今年8月中旬前所面臨的問題。獨立資安研究人員向 Kia 汽車通報後,該汽車製造商立即修復了這個允許遠端存取的漏洞。

Kia汽車和SUV的遠端控制風險

有研究員在9月26日的報告中指出,他在對幾年前發現的多個涉及 Kia、本田、Infiniti、Nissan、Acura、BMW、賓士等多家汽車品牌的車輛漏洞進行後續研究時,發現了 Kia 汽車的新漏洞。

當時,研究人員更展示了如何遠端操控車輛,包括鎖定和解鎖、啟動和關閉引擎,以及控制頭燈和喇叭。某些漏洞更為嚴重,允許攻擊者遠端接管車主帳戶並將其鎖定,使車主失去對車輛的控制權。有些漏洞甚至能讓駭客遠端存取車內攝像頭,查看即時影像。最令人憂心的是,這些攻擊有時只需要車輛識別號碼(VIN),甚至僅憑車主的電子郵件地址就能實施。

汽車API的潛在風險

研究人員發現,註冊並驗證 Kia 經銷商帳戶的過程相對簡單。隨後,他們利用生成的存取權杖呼叫原本僅限經銷商使用的 API,進行車輛和帳戶查詢、車主註冊等多項操作。甚至可利用對經銷商 API 的存取權,僅憑車牌資訊就能檢索到控制關鍵車輛功能的資料。這些功能包括遠端開關點火系統、鎖解車輛、控制頭燈和喇叭,以及確定車輛的精確位置。

更令人憂心的是,研究人員不僅能檢索車主的個人識別資訊(PII),還能悄悄地將自己註冊為主要帳戶持有人,從而控制通常僅限車主使用的功能。這些漏洞影響了2013年至2025年間的多款 Kia 車型。針對較舊的車款,研究人員甚至開發了一個概念驗證工具,展示任何人只需輸入 Kia 車輛的車牌資訊,便能在30秒內對車輛執行遠端指令。

API 資安公司進一步指出,這次發現凸顯了連網汽車中使用複雜 API 協定(如 gRPC、MQTT 和 REST)所帶來的巨大挑戰。汽車製造商必須將加強資安措施列為首要任務,採取更強大的身份驗證方法,並確保通訊管道的安全,以防止未經授權的存取。

此外,資訊娛樂系統也是一個令人憂慮的領域。這些系統與智慧型手機、應用程式和其他服務相連,為駭客進入汽車內部網路創造了更多入口點。近期的 Kia 汽車駭客事件清楚地凸顯了API和雲端服務可能成為弱點:若控制關鍵功能的API未獲妥善保護,便可能成為攻擊者的輕易目標。

本文轉載自 DarkReading。