購車者在購買新車時通常會有很多問題，但很少有人會考慮攻擊者是否可以僅使用車牌信息遠程控制他們的車輛。

然而，這正是數(shù)百萬起亞汽車所允許的，直到 8 月中旬，在獨立安全研究人員提醒他們注意該問題后，該汽車制造商修復(fù)了一個允許此類訪問的漏洞。

起亞汽車和SUV的遠程控制

該故障與同一組研究人員和其他人近年來發(fā)現(xiàn)的故障相似，肯定會引發(fā)人們對現(xiàn)代互聯(lián)汽車容易受到網(wǎng)絡(luò)攻擊的高度擔(dān)憂。

在 9 月 26 日的一份報告中，獨立研究員山姆·庫里 （Sam Curry） 表示，他在對幾年前他和同事在起亞、本田、英菲尼迪、日產(chǎn)、謳歌、寶馬、梅賽德斯等公司的車輛中發(fā)現(xiàn)的多個缺陷進行一些后續(xù)研究時發(fā)現(xiàn)了起亞的漏洞。

當(dāng)時，研究人員展示了任何人都可以如何利用這些漏洞發(fā)出命令，以遠程鎖定和解鎖車輛、啟動和關(guān)閉發(fā)動機以及激活車輛的前燈和喇叭。一些漏洞允許攻擊者遠程接管車主的帳戶并鎖定他們，使其無法管理自己的車輛，而另一些漏洞則允許遠程訪問車輛的攝像頭，并能夠查看車內(nèi)的實時圖像。一些黑客攻擊要求對手只擁有車輛識別號，有時甚至只需要車主的電子郵件地址。

汽車 API 協(xié)議的問題

與之前的許多缺陷一樣，Curry 和他的同事們發(fā)現(xiàn)的新問題與應(yīng)用程序編程接口 （API） 協(xié)議有關(guān)，該協(xié)議支持在 Kia 汽車上執(zhí)行 Internet-to-vehicle 命令。

研究人員發(fā)現(xiàn)，注冊起亞經(jīng)銷商帳戶并將其驗證到該帳戶相對容易。然后，他們可以使用生成的訪問令牌來調(diào)用保留供經(jīng)銷商使用的 API，用于車輛和賬戶查找、車主注冊和其他一些功能。

經(jīng)過一番探索，研究人員發(fā)現(xiàn)，他們可以使用對經(jīng)銷商 API 的訪問權(quán)限來輸入車輛的車牌信息并檢索數(shù)據(jù)，這些數(shù)據(jù)基本上允許他們控制關(guān)鍵的車輛功能。其中包括打開和關(guān)閉點火裝置、遠程鎖定和解鎖車輛、激活大燈和喇叭以及確定其確切地理位置等功能。

此外，他們能夠檢索所有者的個人身份信息 （PII） 并悄悄地將自己注冊為主賬戶持有人。這意味著他們可以控制通常只有所有者才能使用的功能。這些問題影響了從 2024 年和 2025 年一直到 2013 年的一系列起亞車型。對于較舊的車輛，研究人員開發(fā)了一種概念驗證工具，展示了任何人都可以輸入起亞的車牌信息，并在 30 秒內(nèi)對車輛執(zhí)行遠程命令。

“最近的發(fā)現(xiàn)突顯了互聯(lián)汽車中使用的復(fù)雜 API 協(xié)議（如 gRPC、MQTT 和 REST）所帶來的復(fù)雜挑戰(zhàn)，”API 安全公司 Wallarm 的首席執(zhí)行官 Ivan Novikov 說。“汽車制造商必須優(yōu)先加強其網(wǎng)絡(luò)安全措施，通過實施更強大的身份驗證方法和保護通信渠道來防止未經(jīng)授權(quán)的訪問?！?/p>

Synopsys Software Integrity Group 網(wǎng)絡(luò)安全戰(zhàn)略和解決方案高級經(jīng)理 Akhil Mittal 表示，這一新發(fā)現(xiàn)凸顯了互聯(lián)汽車中最大的漏洞通常與與外部世界通信的系統(tǒng)有關(guān)。他指出，始終連接的車輛遠程信息處理系統(tǒng)就是此類組件的一個例子。

“信息娛樂系統(tǒng)是另一個問題，因為它們連接到智能手機、應(yīng)用程序和其他服務(wù)，為黑客進入汽車內(nèi)部網(wǎng)絡(luò)創(chuàng)造了更多入口點，”Mittal 說。“最近的 Kia 黑客攻擊確實凸顯了 API 和云服務(wù)如何成為弱點;如果控制關(guān)鍵功能的 API 沒有得到適當(dāng)?shù)谋Ｗo，它們很容易成為攻擊者的目標(biāo)。

令人不安的汽車網(wǎng)絡(luò)不安全模式

起亞黑客攻擊的消息加劇了人們對聯(lián)網(wǎng)汽車的日益擔(dān)憂——而不僅僅是它們的安全性。今年早些時候，兩名美國高級立法者抨擊通用汽車、本田和現(xiàn)代從聯(lián)網(wǎng)汽車收集有關(guān)車主及其活動的廣泛數(shù)據(jù)。這兩位立法者，俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）和馬薩諸塞州民主黨參議員愛德華·馬基（Edward Markey）稱，這三家汽車制造商收集的數(shù)據(jù)是全行業(yè)面臨的一個癥狀性問題，凸顯了對汽車制造商行為進行更嚴(yán)格監(jiān)督和審查的必要性。

“事實證明，汽車供應(yīng)商在安全方面一次又一次地不負責(zé)任，我想知道在采取行動之前，我們還會看到多少，”軟件安全公司 ForAllSecure 的首席執(zhí)行官 David Brumley 說?！白蛱欤胀ㄋ緳C擔(dān)心 [他們的] 遙控鑰匙被盜。如今，他們不得不擔(dān)心他們的經(jīng)銷商或制造商是否有不受保護的 API。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明