近日，有安全研究人員發(fā)現(xiàn)起亞汽車經(jīng)銷商門戶網(wǎng)站存在一個關(guān)鍵漏洞，黑客只需使用目標車輛的車牌，就能定位并竊取數(shù)百萬輛 2013 年后生產(chǎn)的起亞汽車。

大約在2022 年，安全研究員和漏洞賞金獵人薩姆-庫里等人發(fā)現(xiàn)了影響十多家汽車公司的其他關(guān)鍵漏洞，這些漏洞可以讓犯罪分子遠程定位、禁用啟動器、解鎖和啟動法拉利、寶馬、勞斯萊斯、保時捷和其他汽車制造商生產(chǎn)的 1500 多萬輛汽車。

今天，庫里透露稱起亞門戶網(wǎng)站漏洞最早是在今年6月被發(fā)現(xiàn)的，黑客利用該漏洞能在 30 秒內(nèi)控制任何配備遠程硬件的起亞汽車，無論其是否有激活的起亞互聯(lián)訂閱。

這些漏洞還暴露了車主的敏感個人信息，包括姓名、電話號碼、電子郵件地址和實際地址，并可能使攻擊者在車主不知情的情況下將自己添加為目標車輛的第二用戶。

為了進一步證明這一問題，研究小組制作了一個工具，展示攻擊者如何輸入汽車牌照，并在 30 秒內(nèi)遠程鎖定或解鎖汽車、啟動或停止汽車、按喇叭或定位車輛。

研究人員在起亞的 kiaconnect.kdealer.com 經(jīng)銷商門戶網(wǎng)站上注冊了一個經(jīng)銷商賬戶，以獲取這些信息。

通過身份驗證后，他們生成了一個有效的訪問令牌，該令牌允許他們訪問后端經(jīng)銷商 API，從而獲得車主的重要詳細信息和對汽車遙控器的完全訪問權(quán)限。

他們發(fā)現(xiàn)，攻擊者可以利用后臺經(jīng)銷商 API完成以下操作，包括：

• 生成經(jīng)銷商令牌并從 HTTP 響應中獲取該令牌
• 訪問受害者的電子郵件地址和電話號碼
• 使用泄露的信息修改車主的訪問權(quán)限
• 將攻擊者控制的電子郵件添加到受害者的車輛上，從而實現(xiàn)遠程命令

HTTP 響應包含車主的姓名、電話號碼和電子郵件地址。庫里表示：我們能夠使用正常的應用程序憑證和修改后的通道頭驗證進入經(jīng)銷商門戶。

從那里，攻擊者可以通過 API 輸入車輛的 VIN（車輛識別碼），并在車主不知情的情況下遠程跟蹤、解鎖、啟動或鳴笛。

起亞門戶網(wǎng)站的漏洞允許在未經(jīng)授權(quán)的情況下隱秘地訪問車輛，因為正如庫里解釋的那樣，從受害者的角度來看，他們的車輛被訪問后沒有任何通知，他們的訪問權(quán)限也沒有被修改。

庫里補充道：這些漏洞后來都得到了修復，這個工具也從未發(fā)布過，起亞團隊已經(jīng)證實這從未被惡意利用過。