安全研究人员发现汽车大厂Kia面向客户的网站有项漏洞,可被攻击者取得车主重要资讯,只要输入车牌号码就能控制车子,包括远程定位、解锁或启动车子。所幸Kia已经修补了这项漏洞。
安全研究人员Sam Curry等人今年6月发现Kia数项漏洞,包含一个客户网站(owners.kia.com)漏洞,后者能让攻击者创建一个黑客App,在大约30秒内黑入车子,远程控制主要功能。攻击者还能暗中取得车主个人信息包括姓名、电话、电子邮件与地址,利用这些资讯在车主不知情下,取得车辆控制权。
研究人员在两年前搜罗出许多车厂IT系统的漏洞,今年决定重新审视车厂们是否解决问题,而Kia是这次行动的首个目标。研究人员在Kia经销商网站冒充登录新经销商,验证新账号,取得有效访问令牌后,以此新令牌调用后台API,从回传的HTTP回应取得必要参数,访问Kia经销商上的所有经销商端点。研究人员还可利用电邮和取得的必要参数,降级受害车主等级,加入自己的电邮信箱,绑定并设为车子的主要用户。最终,他们取得Kia车辆控制权,执行想要的控制。
在示范视频中,研究人员照下车牌输入开发的攻击程序,即可成功访问车辆,并执行部分功能,像是车辆定位、开车门、发动车子、按音箱等。
根据研究人员列表,显示从2013年到2025年最新款,数十款车型都受到本漏洞影响,几乎所有车款都能远程车辆定位、开车门、发动车子、按音箱、闪方向灯,其中数款还可以远程启动摄影机。
Kia在获得通报后,已经在8月修补了这项漏洞。研究人员从未发布这黑客工具,Kia也为研究团队背书,他们并未恶意滥用这漏洞。
