聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll 表示,“这些攻击可在大约30秒内,在任何配备硬件的汽车上远程执行,不管机主是否订阅了 Kia Connect。”这些问题影响几乎所有2013年后制造的汽车,甚至可导致攻击者偷偷获得对敏感信息的访问权限。这些信息包括受害者的姓名、电话号码、电子邮件和物理地址。攻击者随后可滥用这些信息作为“不可见的”第二用户,而车主对此一无所知。
研究提到,利用起亚用于激活汽车的经销商基础设施 (“kiaconnect.kdealer[.]com”) 并通过一个HTTP请求注册一个虚假账户并生成访问令牌。该令牌随后与其他 HTTP 请求用于经销商APIGW 端点和汽车的识别号码 (VIN)来获得车主的姓名、手机号码和邮箱地址。
另外,研究人员发现只要通过发布四个 HTTP 请求就能访问汽车并最终执行车联命令:
-
生成经销商令牌并使用之前提到的方法,从HTTP响应中检索“令牌”标头
-
提取受害者的邮件地址和电话号码
-
通过被泄露的邮件地址和VIN号码修改车主之前的访问并将攻击者设置为主要账户持有人。
-
通过在所控制的邮箱地址下,将攻击者增加为汽车主要所有者,运行任意命令。
研究人员表示,“受害者不会收到汽车已被访问或者访问权限遭修改的通知。攻击者可解析某人的车牌,通过API输入VIN号码,之后被动追踪并发送活跃命令如解锁、启动或鸣笛。”
在理论的攻击场景下,恶意人员可在自定义仪表盘中输入起亚汽车的车牌号,检索到受害者的信息,之后在大概30秒的时间内在汽车上执行命令。
起亚在2024年6月收到漏洞报告后,在8月14日修复漏洞。目前尚未发现漏洞遭利用的迹象。研究人员表示,“汽车还会出现漏洞,因为就像Meta 可以推出代码变更,允许用户接管 Facebook 账户一样,汽车厂商也可对汽车做出同样的事情。”
原文始发于微信公众号(代码卫士):仅凭车牌就能远程控制起亚汽车,漏洞已修复
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论