导 读
起亚汽车网络门户中存在一个漏洞,黑客可以利用该漏洞入侵汽车并追踪车主。你只需要知道汽车的 VIN 号或车牌号即可。
一组安全研究人员发现韩国汽车制造商起亚的门户网站存在严重漏洞,可导致汽车被远程入侵并追踪车主。要实施入侵,只需要受害者的车牌号。让我们深入了解细节。
过度联网的汽车
在过去的几十年里,汽车基本上已经成为了车轮上的大型计算机。即使是不那么“智能”的车型也配备了电子设备和一系列传感器——从声纳和摄像头到运动探测器和 GPS。
不仅如此,近年来,这些计算机一直连接到互联网,随之而来的是各种风险。
不久前,我们撰写了一篇文章,介绍当今的汽车如何收集车主的大量数据并将其发送给制造商。此外,制造商还将收集到的数据出售给其他公司,尤其是保险公司。
然而,这个问题还有另一面:持续连接到互联网意味着,如果存在漏洞——无论是在汽车本身还是在其通信的云系统中——有人可以利用它们来入侵系统并追踪汽车主人,而制造商甚至对此毫不知情。
一个错误统治所有错误,一个错误找到所有错误
这正是本案所发生的事情。研究人员在起亚的门户网站中发现了一个漏洞,该门户网站由起亚车主和经销商使用。事实证明,通过使用 API,该门户网站允许任何人通过几个相当简单的步骤注册为汽车经销商。
发现严重漏洞的起亚门户网站
这使得攻击者能够访问汽车经销商本不该拥有的功能——至少在车辆交给客户后就不能了。具体来说,该门户首先允许查找任何起亚汽车,然后访问车主的数据(姓名、电话号码、电子邮件地址,甚至实际地址)——所有这些操作只需车辆的 VIN 号即可完成。
需要注意的是,VIN 号并非完全是秘密信息——在某些国家/地区,它们是公开的。例如,在美国,您可以使用许多在线服务通过汽车的车牌号查找 VIN 号。
起亚网络门户攻击的一般方案,允许使用车辆识别号控制任何汽车
成功找到汽车后,攻击者可以使用车主的数据在起亚系统中注册任何攻击者控制的账户作为车辆的新用户。从那里,攻击者将通过移动应用程序访问汽车实际车主通常可以使用的各种功能。
特别有趣的是,所有这些功能不仅适用于销售该车的经销商,还适用于在起亚系统中注册的任何经销商。
数秒内入侵一辆汽车
研究人员随后开发了一款实验性应用,只需在输入字段中输入车牌号,即可在几秒钟内控制任何起亚汽车。该应用将通过相关服务自动查找汽车的 VIN,并使用该 VIN 将车辆注册到研究人员的帐户。
研究人员甚至创建了一款方便的应用程序来简化黑客攻击——你只需要起亚汽车的车牌号。
之后,攻击者只需按下应用程序中的按钮即可获取车辆的当前坐标、锁定或解锁车门、启动或停止发动机或鸣喇叭。
该应用程序可用于获取被黑客入侵汽车的坐标并发送命令。
需要注意的是,在大多数情况下,这些功能不足以窃取汽车。现代车型通常配备防盗装置,需要钥匙在场才能禁用。
然而,此漏洞很容易被利用来追踪车主、窃取留在车内的贵重物品(或在车内放置物品),或者只是通过车辆的意外动作扰乱驾驶员的生活。
研究人员遵循负责任的披露协议,将问题告知制造商,并仅在起亚修复该漏洞后才发布他们的发现。不过,他们指出,他们之前曾发现过类似的漏洞,并相信他们将来会继续发现更多漏洞。
新闻链接:
https://www.kaspersky.com/blog/tracking-and-hacking-kia-cars-via-internet/52497/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):卡巴斯基:如何追踪数百万辆起亚汽车
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论