偷车对于黑客来说,只需要一个车牌、一部智能手机和一次点击!

admin 2024年9月28日09:31:50评论18 views字数 894阅读2分58秒阅读模式

偷车对于黑客来说,只需要一个车牌、一部智能手机和一次点击!

偷车对于黑客来说,只需要一个车牌、一部智能手机和一次点击!

安全研究人员在起亚经销商门户中发现了严重漏洞,攻击者可以利用这些漏洞悄悄窃取停放的该品牌汽车。

所发现的问题允许您仅使用汽车牌照即可破解 2013 年之后发布的任何起亚车型。

2022 年,包括漏洞搜寻者Sam Curry 在内的安全研究人员首次发现了十多个汽车品牌中的关键安全漏洞。

当时,攻击者可以利用漏洞远程检测、锁定、启动或解锁法拉利、宝马、劳斯莱斯和保时捷等高端品牌的超过 1500 万辆汽车。

这次 ,Curry 报告称,2024 年 6 月 11 日在 Kia Connect 门户中发现的缺陷允许使用远程设备控制任何 Kia 车辆,即使没有激活 Kia Connect 订阅也是如此。

此外,这些漏洞还暴露了车主的个人信息,包括姓名、电话号码、电子邮件地址和实际地址。

攻击者还可以在所有者不知情的情况下将自己作为第二个用户添加到系统中。

为了演示这个问题,一组研究人员创建了一个工具,允许您仅使用一个车牌将汽车添加到您的“虚拟车库”,然后远程锁定、解锁、启动或停止发动机、按喇叭或在汽车地图上定位汽车。

登录起亚经销商门户 (kiaconnect.kdealer.com) 后,他们注册了经销商帐户并生成了有效的访问令牌。

该令牌提供对经销商后端 API 的访问,提供关键的车主信息以及对远程车辆功能的完全控制。

攻击者可以使用此 API 来获得以下功能:

  • 从经销商处生成令牌并从 HTTP 响应中接收它;

  • 获取车主的电子邮件和电话号码;

  • 使用收到的数据更改访问权限;

  • 将您的电子邮件地址添加到您的汽车帐户以远程控制您的汽车。

“HTTP 响应包含车主的姓名、电话号码和电子邮件地址。

我们能够使用常规应用程序凭据和修改后的渠道标头登录零售商门户,”库里解释道。

利用VIN(车辆识别码),攻击者可以使用 API 在车主不知情的情况下跟踪、解锁、启动车辆,甚至按喇叭。

由于发现的漏洞,未经授权的汽车访问可能是秘密发生的,因为车主没有收到黑客攻击或访问权限更改的通知。

不过,所有漏洞均已修复。

据库里称,演示该黑客攻击的工具从未发布过,起亚团队确认这些漏洞并未被用于恶意目的。

原文始发于微信公众号(网络研究观):偷车对于黑客来说,只需要一个车牌、一部智能手机和一次点击!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日09:31:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   偷车对于黑客来说,只需要一个车牌、一部智能手机和一次点击!https://cn-sec.com/archives/3216768.html

发表评论

匿名网友 填写信息