【安全资讯】Kia经销商门户缺陷或可使攻击者入侵数百万辆汽车

概要：

近日，一组安全研究人员发现了Kia经销商门户网站的关键漏洞，这些漏洞可能允许黑客通过仅使用目标车辆的车牌号来定位和盗取2013年之后制造的数百万辆Kia汽车。该漏洞不仅暴露了车主的敏感个人信息，还可能使攻击者在车主不知情的情况下远程控制汽车。

主要内容：

这些漏洞首次被包括安全研究员Sam Curry在内的一组黑客发现，他们曾在2022年发现过影响十多个汽车公司的严重漏洞。这些漏洞本可以让犯罪分子定位、禁用启动器、解锁和启动超过1500万辆由Ferrari、BMW、Rolls Royce和Porsche等制造的车辆。在2024年6月11日，Curry透露，Kia门户网站的漏洞允许在不到30秒内控制任何配备远程硬件的Kia车辆。

研究人员团队展示了如何利用这一漏洞生成经销商令牌，并从HTTP响应中检索到车主的敏感信息，如姓名、电话号码、电子邮件地址等。黑客可以利用这些信息修改车主的访问权限，甚至在车主不知情的情况下将攻击者自己的电子邮件添加到车主的车辆上，从而进行远程控制。

进一步演示表明，攻击者可以通过输入车辆的车牌号，在30秒内远程锁定或解锁车辆、启动或停止引擎、鸣响喇叭、或定位车辆。攻击者还可通过API接入车辆识别号码（VIN）进行更深入的控制，如远程跟踪和启动汽车。令人担忧的是，从受害者一侧，没有任何通知表明其车辆被访问或权限被修改。

值得庆幸的是，这些漏洞已被修复，相关工具从未被公布，且Kia团队确认这些漏洞未被恶意利用。