聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络安全研究员披露了位于 Kia(“起亚”)汽车中的多个漏洞,如遭利用,可导致攻击者仅凭一个车牌就远程控制车辆的关键功能。目前漏洞已修复。
研究人员 Neiko Rivera、Sam Curry、Justin Rhinehart 和 Ian Carroll 表示,“这些攻击可在大约30秒内,在任何配备硬件的汽车上远程执行,不管机主是否订阅了 Kia Connect。”这些问题影响几乎所有2013年后制造的汽车,甚至可导致攻击者偷偷获得对敏感信息的访问权限。这些信息包括受害者的姓名、电话号码、电子邮件和物理地址。攻击者随后可滥用这些信息作为“不可见的”第二用户,而车主对此一无所知。
研究提到,利用起亚用于激活汽车的经销商基础设施 (“kiaconnect.kdealer[.]com”) 并通过一个HTTP请求注册一个虚假账户并生成访问令牌。该令牌随后与其他 HTTP 请求用于经销商APIGW 端点和汽车的识别号码 (VIN)来获得车主的姓名、手机号码和邮箱地址。
另外,研究人员发现只要通过发布四个 HTTP 请求就能访问汽车并最终执行车联命令:
生成经销商令牌并使用之前提到的方法,从HTTP响应中检索“令牌”标头
提取受害者的邮件地址和电话号码
通过被泄露的邮件地址和VIN号码修改车主之前的访问并将攻击者设置为主要账户持有人。
通过在所控制的邮箱地址下,将攻击者增加为汽车主要所有者,运行任意命令。
研究人员表示,“受害者不会收到汽车已被访问或者访问权限遭修改的通知。攻击者可解析某人的车牌,通过API输入VIN号码,之后被动追踪并发送活跃命令如解锁、启动或鸣笛。”
在理论的攻击场景下,恶意人员可在自定义仪表盘中输入起亚汽车的车牌号,检索到受害者的信息,之后在大概30秒的时间内在汽车上执行命令。
起亚在2024年6月收到漏洞报告后,在8月14日修复漏洞。目前尚未发现漏洞遭利用的迹象。研究人员表示,“汽车还会出现漏洞,因为就像Meta 可以推出代码变更,允许用户接管 Facebook 账户一样,汽车厂商也可对汽车做出同样的事情。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
软件提供商CDK Global遭攻击,北美汽车经销商被迫用纸笔交易
首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生
原文链接
https://thehackernews.com/2024/09/hackers-could-have-remotely-controlled.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
