数百万起亚汽车面临令人担忧的远程黑客漏洞风险

通过Mura在计算机安全

翻译为：

令人不寒而栗的是，安全研究人员最近发现起亚在线系统存在严重漏洞，导致数百万辆汽车容易受到远程黑客攻击。这不仅仅是访问一些不重要的功能。发现的漏洞可能让黑客能够控制关键的车辆功能，只需几个简单的步骤即可。

想象一下：只需知道您的汽车牌照号码，黑客就可以在 30 秒内控制您的车辆。这很令人担忧，对吧？网络安全研究员 Sam Curry 与其他三名专家组成的团队在起亚车主门户网站（一个将车主与汽车连接起来的在线系统）中发现了这些令人不安的漏洞。

这些漏洞不仅为远程控制车辆打开了大门，还暴露了大量个人信息。车主的姓名、地址、电子邮件地址和电话号码等详细信息可以毫不费力地被提取。也许更令人担忧的是，攻击者可以在车主不知情的情况下创建第二个用户配置文件，使他们能够向车辆发送命令，例如解锁车门甚至启动引擎。

那么这些漏洞是如何被利用的呢？根据 Curry 的说法，起亚车主的网站不仅仅是一个查看车辆信息的门户网站，它还能够执行互联网到车辆的命令。此功能是通过后端反向代理实现的，该代理将这些命令定向到负责执行操作的 API。

此外，起亚经销商的基础设施也存在类似的风险。在经销商网站上注册后，用于起亚车主门户注册的相同请求可能会被操纵。研究人员能够获得访问令牌，从而允许他们调用后端经销商 API。

简单来说，该系统将把钥匙交给王国。通过利用这些漏洞，黑客可以获取敏感的个人数据，甚至替换车主的电子邮件地址，使自己成为主要账户持有人。从那里，他们可以向车辆发送命令——所有这些都不会引起车主的任何怀疑。

该漏洞最令人不安的方面之一是其影响范围。Curry 的团队能够创建一个概念验证仪表板，允许他们输入车牌号、检索车主的个人信息并向车辆发出命令。据 Curry 称，2013 年以后生产的任何起亚车型都可能存在风险。

一旦受到攻击，黑客便可以追踪汽车，操纵汽车的功能，例如解锁车门、按喇叭或启动引擎——所有这一切都只需通过键盘即可完成。

也许最令人震惊的部分是什么？从车主的角度来看，没有收到任何通知或警报表明他们的车辆已被访问或他们的帐户已被更改。这本质上是一种无声的接管。

值得庆幸的是，在 2024 年 6 月向起亚报告了这些漏洞后，该汽车制造商采取了行动。到 8 月中旬，他们实施了修复程序来解决这些漏洞并保护他们的车辆免受远程攻击。虽然这个补丁让很多人松了一口气，但它也清楚地提醒我们，我们的汽车已经变得多么互联，它们是多么容易受到网络攻击。

随着越来越多的汽车制造商将先进技术和基于互联网的系统集成到汽车中，网络威胁的风险也在上升。起亚事件敲响了警钟，凸显了现代汽车中强大的网络安全的重要性。随着汽车行业的发展，旨在保护汽车和驾驶员免受数字威胁的安全协议也必须不断发展。

这次事件应该促使汽车制造商，尤其是起亚，不断审查和更新他们的安全措施。对于车主来说，保持知情、及时应用更新并意识到在这个联网汽车时代可能出现的任何潜在安全漏洞至关重要。

汽车的数字化未来令人兴奋，但也伴随着巨大的风险——需要小心谨慎才能保证道路上的每个人免受物理和数字威胁。

搜索