-
-
[分享]起亚汽车曝严重漏洞,仅凭车牌便可远程控制起亚汽车
-
发表于: 2024-9-27 18:31 2792
-
不妨想象一下,你正在驾驶你的爱车,却仅仅因为车牌暴露,就可能被他人远程控制,同时你的敏感个人信息也会完全泄露。——这并非科幻电影情节,而是近期存在于Kia汽车上的真实漏洞。
据Neiko Rivera和Sam Curry等安全研究人员发布的博客文章(该团队长期致力于汽车网络安全研究。此前已发现并报告过多个汽车厂商的网络安全漏洞),这次针对Kia汽车的攻击,并非像以往那种需要复杂技术手段(例如逆向工程汽车遥测单元代码、利用无线电信号传输恶意软件或利用CD光盘传播病毒等耗时费力的攻击方式),相反,这次攻击只是利用了一个Kia汽车网站(据报道为Kia用于客户和经销商管理联网汽车功能的网络门户)后端的一个简单漏洞。
这个漏洞允许攻击者绕过正常的用户身份验证机制,通过简单的HTTP请求,获取Kia汽车的车辆识别号码(VIN),进而远程控制车辆的联网功能,例如追踪车辆位置、解锁车门、鸣笛、启动引擎等等。除此之外,该漏洞还会被用来获取车主的大量个人信息,包括姓名、邮箱、电话号码、家庭住址,甚至过往行车路线,构成严重的隐私泄露风险。
更令人不安的是,此类漏洞并非Kia汽车独有。研究人员在过去两年中,已经发现了十几家汽车制造商存在类似的基于网络的漏洞。这些漏洞的共通点在于,它们大都利用了汽车厂商用于管理联网汽车功能的网站或API中的安全缺陷。这些漏洞的利用难度较低,对黑客的技术水平要求不高,这使得潜在的威胁更加广泛,后果更加严重。
该研究团队的发现暴露出当下部分汽车厂商在网络安全方面的不足——对车联网的安全性重视程度还远远不够,尚待加强对软件和网络安全的投入和管理。这不仅是Kia一家企业的问题,而是整个汽车行业需要认真对待的挑战。追求功能的丰富性与便利性的同时,必须将安全性作为同等重要的因素来考虑,才能真正让消费者安心地享受到科技带来的便利。
编辑:左右里
资讯来源:samcurry
转载请注明出处和本文链接
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课