仅凭车牌就能远程控制起亚汽车,漏洞已修复
2024-9-27 17:44:41 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全研究员披露了位于 Kia(“起亚”)汽车中的多个漏洞,如遭利用,可导致攻击者仅凭一个车牌就远程控制车辆的关键功能。目前漏洞已修复。

研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll 表示,“这些攻击可在大约30秒内,在任何配备硬件的汽车上远程执行,不管机主是否订阅了 Kia Connect。”这些问题影响几乎所有2013年后制造的汽车,甚至可导致攻击者偷偷获得对敏感信息的访问权限。这些信息包括受害者的姓名、电话号码、电子邮件和物理地址。攻击者随后可滥用这些信息作为“不可见的”第二用户,而车主对此一无所知。

研究提到,利用起亚用于激活汽车的经销商基础设施 (“kiaconnect.kdealer[.]com”) 并通过一个HTTP请求注册一个虚假账户并生成访问令牌。该令牌随后与其他 HTTP 请求用于经销商APIGW 端点和汽车的识别号码 (VIN)来获得车主的姓名、手机号码和邮箱地址。

另外,研究人员发现只要通过发布四个 HTTP 请求就能访问汽车并最终执行车联命令:

  • 生成经销商令牌并使用之前提到的方法,从HTTP响应中检索“令牌”标头

  • 提取受害者的邮件地址和电话号码

  • 通过被泄露的邮件地址和VIN号码修改车主之前的访问并将攻击者设置为主要账户持有人。

  • 通过在所控制的邮箱地址下,将攻击者增加为汽车主要所有者,运行任意命令。

研究人员表示,“受害者不会收到汽车已被访问或者访问权限遭修改的通知。攻击者可解析某人的车牌,通过API输入VIN号码,之后被动追踪并发送活跃命令如解锁、启动或鸣笛。”

在理论的攻击场景下,恶意人员可在自定义仪表盘中输入起亚汽车的车牌号,检索到受害者的信息,之后在大概30秒的时间内在汽车上执行命令。

起亚在2024年6月收到漏洞报告后,在8月14日修复漏洞。目前尚未发现漏洞遭利用的迹象。研究人员表示,“汽车还会出现漏洞,因为就像Meta 可以推出代码变更,允许用户接管 Facebook 账户一样,汽车厂商也可对汽车做出同样的事情。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

现代和起亚紧急修复严重漏洞,只需USB电缆即可盗走车辆

2025 Pwn2Own东京汽车大赛公布目标和奖金

软件提供商CDK Global遭攻击,北美汽车经销商被迫用纸笔交易

首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生

博世力士乐螺丝机中存在多个漏洞,可中断汽车生产线

原文链接

https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520951&idx=1&sn=05f9503385c7ca3c9f3e13e6c82e0f69&chksm=ea94a3dddde32acb03298861ce169a6c4c83c15dd24d70d9fe591e2d0aa7ddc17fffe73092b2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh