吳明宜研究人員發現Kia系統漏洞,可透過車牌號碼遠端控制車輛功能,已修補,警告連網車易受漏洞攻擊。
一群研究人員發現了一項 Kia 系統漏洞,讓他們使用車牌號碼就能駭入任何 Kia 的車輛子系統。
Kia 是用經銷商網站 (owners.kia.com) 讓新車車主啟用和管理車子的聯網功能。由安全研究人員 Sam Curry 為主的一群研究人員,利用 Kia 車主的網站註冊連結尋找網站程式碼的漏洞,試圖將綁定 Kia 車輛的電子郵件信箱換成他們的。
研究人員建立了一個 App 工具,示範攻擊者可以輸入任何車牌號碼,然後就能遠端定位、解鎖車門、發動車輛、鳴喇叭或定位車輛。這手法也能曝露車主的姓名、電話、電郵信箱和住家位置,這些資訊能讓攻擊者偷偷把自己加為第二位車主。而只要在任何一輛連網車輛上,花 30 秒就能完成遠端攻擊。
根據研究人員的測試,攻擊手法從 2013 年到明年的 Kia 車款幾乎都能成功,包括 Carnival 、 Sportage 、 K5 、 Seltos 、 Soul 、 Sorento 、 EV6 、 EV9 、 Forte 、 K5 、 Niro 、 Telluride 、 Stinger 、 Rio 、 Sedona 、和 Optima 等。
研究人員 6 月向 Kia 通報漏洞後,Kia 已經完成修補。這家車廠也證實,漏洞並未遭到惡意濫用。
不過 Curry 警告,現代連網車子將不斷出現漏洞,一如 Meta 變更程式碼造成漏洞,現代車商也可能因變更軟體引發瑕疵。
去年 Kia 母公司現代汽車去年也發生某些車款軟體漏洞,讓有心人以一把螺絲起子和 USB 線,即使沒有鑰匙也能啟動車子,迫使該公司發佈防護軟體。一群名為「Kia boys」的竊賊以 Tiktok 發佈示範影片,引發其他人模仿駭入 Kia 及現代(Hyundai)車款。
來源:PC Mag