仅凭车牌就能远程控制起亚汽车,漏洞已修复

admin 2024年9月27日21:26:28评论4 views字数 906阅读3分1秒阅读模式

仅凭车牌就能远程控制起亚汽车,漏洞已修复聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

仅凭车牌就能远程控制起亚汽车,漏洞已修复
网络安全研究员披露了位于 Kia(“起亚”)汽车中的多个漏洞,如遭利用,可导致攻击者仅凭一个车牌就远程控制车辆的关键功能。目前漏洞已修复。

研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll 表示,“这些攻击可在大约30秒内,在任何配备硬件的汽车上远程执行,不管机主是否订阅了 Kia Connect。”这些问题影响几乎所有2013年后制造的汽车,甚至可导致攻击者偷偷获得对敏感信息的访问权限。这些信息包括受害者的姓名、电话号码、电子邮件和物理地址。攻击者随后可滥用这些信息作为“不可见的”第二用户,而车主对此一无所知。

研究提到,利用起亚用于激活汽车的经销商基础设施 (“kiaconnect.kdealer[.]com”) 并通过一个HTTP请求注册一个虚假账户并生成访问令牌。该令牌随后与其他 HTTP 请求用于经销商APIGW 端点和汽车的识别号码 (VIN)来获得车主的姓名、手机号码和邮箱地址。

另外,研究人员发现只要通过发布四个 HTTP 请求就能访问汽车并最终执行车联命令:

  • 生成经销商令牌并使用之前提到的方法,从HTTP响应中检索“令牌”标头

  • 提取受害者的邮件地址和电话号码

  • 通过被泄露的邮件地址和VIN号码修改车主之前的访问并将攻击者设置为主要账户持有人。

  • 通过在所控制的邮箱地址下,将攻击者增加为汽车主要所有者,运行任意命令。

研究人员表示,“受害者不会收到汽车已被访问或者访问权限遭修改的通知。攻击者可解析某人的车牌,通过API输入VIN号码,之后被动追踪并发送活跃命令如解锁、启动或鸣笛。”

在理论的攻击场景下,恶意人员可在自定义仪表盘中输入起亚汽车的车牌号,检索到受害者的信息,之后在大概30秒的时间内在汽车上执行命令。

起亚在2024年6月收到漏洞报告后,在8月14日修复漏洞。目前尚未发现漏洞遭利用的迹象。研究人员表示,“汽车还会出现漏洞,因为就像Meta 可以推出代码变更,允许用户接管 Facebook 账户一样,汽车厂商也可对汽车做出同样的事情。”

原文始发于微信公众号(代码卫士):仅凭车牌就能远程控制起亚汽车,漏洞已修复

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月27日21:26:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   仅凭车牌就能远程控制起亚汽车,漏洞已修复http://cn-sec.com/archives/3215965.html

发表评论

匿名网友 填写信息