歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
數百萬輛Kia汽車面臨遠端駭客攻擊漏洞:僅需車牌資訊即可入侵
2024 / 10 / 07
編輯部
購買新車時,消費者通常會考慮諸多因素,但很少人會想到駭客是否能僅憑車牌資訊就遠端控制他們的愛車。
然而,這正是數百萬輛 Kia 汽車在今年8月中旬前所面臨的問題。獨立資安研究人員向 Kia 汽車通報後,該汽車製造商立即修復了這個允許遠端存取的漏洞。
Kia汽車和SUV的遠端控制風險
有研究員在9月26日的報告中指出,他在對幾年前發現的多個涉及 Kia、本田、Infiniti、Nissan、Acura、BMW、賓士等多家汽車品牌的車輛漏洞進行後續研究時,發現了 Kia 汽車的新漏洞。
當時,研究人員更展示了如何遠端操控車輛,包括鎖定和解鎖、啟動和關閉引擎,以及控制頭燈和喇叭。某些漏洞更為嚴重,允許攻擊者遠端接管車主帳戶並將其鎖定,使車主失去對車輛的控制權。有些漏洞甚至能讓駭客遠端存取車內攝像頭,查看即時影像。最令人憂心的是,這些攻擊有時只需要車輛識別號碼(VIN),甚至僅憑車主的電子郵件地址就能實施。
汽車API的潛在風險
研究人員發現,註冊並驗證 Kia 經銷商帳戶的過程相對簡單。隨後,他們利用生成的存取權杖呼叫原本僅限經銷商使用的 API,進行車輛和帳戶查詢、車主註冊等多項操作。甚至可利用對經銷商 API 的存取權,僅憑車牌資訊就能檢索到控制關鍵車輛功能的資料。這些功能包括遠端開關點火系統、鎖解車輛、控制頭燈和喇叭,以及確定車輛的精確位置。
更令人憂心的是,研究人員不僅能檢索車主的個人識別資訊(PII),還能悄悄地將自己註冊為主要帳戶持有人,從而控制通常僅限車主使用的功能。這些漏洞影響了2013年至2025年間的多款 Kia 車型。針對較舊的車款,研究人員甚至開發了一個概念驗證工具,展示任何人只需輸入 Kia 車輛的車牌資訊,便能在30秒內對車輛執行遠端指令。
API 資安公司進一步指出,
這次發現凸顯了連網汽車中使用複雜 API 協定(如 gRPC、MQTT 和 REST)所帶來的巨大挑戰。汽車製造商必須將加強資安措施列為首要任務,採取更強大的身份驗證方法,並確保通訊管道的安全,以防止未經授權的存取。
此外,資訊娛樂系統也是一個令人憂慮的領域。這些系統與智慧型手機、應用程式和其他服務相連,為駭客進入汽車內部網路創造了更多入口點。近期的 Kia 汽車駭客事件清楚地凸顯了API和雲端服務可能成為弱點:若控制關鍵功能的API未獲妥善保護,便可能成為攻擊者的輕易目標。
本文轉載自 DarkReading。
Kia
汽車資安
遠端控制風險
PII
API
最新活動
2025.02.19
2025資安365年會
2025.02.11
【2025 叡揚資安趨勢講堂】
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
Cloudflare CDN漏洞恐洩露用戶位置資訊
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
美國制裁中國資安公司涉及「鹽颱風」駭客集團入侵事件
Cloudflare緩解史上最大規模5.6Tbps DDoS攻擊,台灣是攻擊熱區
資安人科技網
文章推薦
鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
駭客利用 SimpleHelp RMM 漏洞發動持續性攻擊與勒索軟體入侵