數百萬起亞汽車面臨遠端駭客漏洞警報風險

電腦安全年Mura年

翻譯為：

令人毛骨悚然的是，安全研究人員最近發現起亞線上系統存在嚴重漏洞，導致數百萬輛車輛容易受到遠端駭客攻擊。這不僅僅是訪問一些不重要的功能。發現的缺陷可能使駭客能夠控制關鍵的車輛功能，所有這些都只需幾個簡單的步驟。

想像一下：只需您汽車的車牌號碼，駭客就有可能在 30 秒內控制您的車輛。令人震驚，對吧？網路安全研究員 Sam Curry 和其他三位專家組成的團隊在起亞車主入口網站（一個將車主與汽車連接起來的線上系統）中發現了這些令人不安的缺陷。

這些漏洞不僅打開了遠端控制車輛的大門，還暴露了大量的個人資訊寶庫。可以輕鬆提取車主的姓名、地址、電子郵件地址和電話號碼等詳細資訊。也許更令人擔憂的是，攻擊者可以在車主不知情的情況下創建第二個用戶配置文件，使他們能夠向車輛發送命令，例如解鎖車門甚至啟動發動機。

那麼這些漏洞是如何被漏掉的呢？根據庫裡介紹，起亞車主的網站不僅僅是檢查車輛資訊的門戶，它還能夠執行互聯網到車輛的命令。此功能是透過後端反向代理實現的，該代理將這些命令定向到負責執行操作的 API。

此外，起亞經銷基礎設施也帶來了類似的風險。在經銷商網站上註冊後，用於起亞車主入口網站註冊的相同請求可能會被操縱。研究人員能夠獲得存取令牌，從而允許他們呼叫後端經銷商 API。

簡單來說，系統將把王國的鑰匙交給他們。透過利用這些漏洞，駭客可以檢索敏感的個人數據，甚至替換所有者的電子郵件地址，使自己成為主要帳戶持有者。從那裡，他們可以向車輛發送命令，而不會引起車主的任何懷疑。

該漏洞最令人不安的方面之一是其範圍。柯瑞的團隊能夠創建一個概念驗證儀表板，讓他們可以輸入車牌、檢索車主的個人資訊並向車輛發出命令。 Curry 表示，2013 年之後生產的任何起亞車型都存在潛在風險。

一旦受到威脅，駭客就可以追蹤汽車、操縱諸如解鎖車門、按喇叭或啟動引擎等功能——所有這些都可以透過鍵盤輕鬆完成。

也許最令人震驚的部分？從車主的角度來看，沒有任何通知或警報表明他們的車輛被訪問或他們的帳戶被更改。這本質上是一次無聲的收購。

值得慶幸的是，在 2024 年 6 月向起亞報告漏洞後，該汽車製造商採取了行動。到八月中旬，他們實施了修復程序來解決這些缺陷並保護他們的車輛免受遠程攻擊。雖然這個補丁讓許多人鬆了一口氣，但它也清楚地提醒我們，我們的車輛已經變得多麼互聯，以及它們多麼容易受到網路攻擊。

隨著越來越多的汽車製造商將先進技術和基於互聯網的系統整合到他們的汽車中，網路威脅的風險正在上升。起亞事件敲響了警鐘，凸顯了現代汽車中強大的網路安全的重要性。隨著汽車產業的發展，旨在保護汽車和駕駛員免受數位威脅的安全協議也必須不斷發展。

這事件應該促使汽車製造商，尤其是起亞，不斷審查和更新他們的安全措施。對於車主來說，隨時了解情況、及時應用更新並了解連網汽車時代可能出現的任何潛在安全漏洞至關重要。

汽車的數位化未來令人興奮，但它也伴隨著巨大的風險——需要仔細關注，以確保道路上的每個人都免受物理和數位威脅。

搜索