近日，有安全研究人員發(fā)現(xiàn)起亞汽車(chē)經(jīng)銷(xiāo)商門(mén)戶網(wǎng)站存在一個(gè)關(guān)鍵漏洞，黑客只需使用目標(biāo)車(chē)輛的車(chē)牌，就能定位并竊取數(shù)百萬(wàn)輛 2013 年后生產(chǎn)的起亞汽車(chē)。

大約在2022 年，安全研究員和漏洞賞金獵人薩姆-庫(kù)里等人發(fā)現(xiàn)了影響十多家汽車(chē)公司的其他關(guān)鍵漏洞，這些漏洞可以讓犯罪分子遠(yuǎn)程定位、禁用啟動(dòng)器、解鎖和啟動(dòng)法拉利、寶馬、勞斯萊斯、保時(shí)捷和其他汽車(chē)制造商生產(chǎn)的 1500 多萬(wàn)輛汽車(chē)。

今天，庫(kù)里透露稱起亞門(mén)戶網(wǎng)站漏洞最早是在今年6月被發(fā)現(xiàn)的，黑客利用該漏洞能在 30 秒內(nèi)控制任何配備遠(yuǎn)程硬件的起亞汽車(chē)，無(wú)論其是否有激活的起亞互聯(lián)訂閱。

這些漏洞還暴露了車(chē)主的敏感個(gè)人信息，包括姓名、電話號(hào)碼、電子郵件地址和實(shí)際地址，并可能使攻擊者在車(chē)主不知情的情況下將自己添加為目標(biāo)車(chē)輛的第二用戶。

為了進(jìn)一步證明這一問(wèn)題，研究小組制作了一個(gè)工具，展示攻擊者如何輸入汽車(chē)牌照，并在 30 秒內(nèi)遠(yuǎn)程鎖定或解鎖汽車(chē)、啟動(dòng)或停止汽車(chē)、按喇叭或定位車(chē)輛。

研究人員在起亞的 kiaconnect.kdealer.com 經(jīng)銷(xiāo)商門(mén)戶網(wǎng)站上注冊(cè)了一個(gè)經(jīng)銷(xiāo)商賬戶，以獲取這些信息。

通過(guò)身份驗(yàn)證后，他們生成了一個(gè)有效的訪問(wèn)令牌，該令牌允許他們?cè)L問(wèn)后端經(jīng)銷(xiāo)商 API，從而獲得車(chē)主的重要詳細(xì)信息和對(duì)汽車(chē)遙控器的完全訪問(wèn)權(quán)限。

他們發(fā)現(xiàn)，攻擊者可以利用后臺(tái)經(jīng)銷(xiāo)商 API完成以下操作，包括：

• 生成經(jīng)銷(xiāo)商令牌并從 HTTP 響應(yīng)中獲取該令牌
• 訪問(wèn)受害者的電子郵件地址和電話號(hào)碼
• 使用泄露的信息修改車(chē)主的訪問(wèn)權(quán)限
• 將攻擊者控制的電子郵件添加到受害者的車(chē)輛上，從而實(shí)現(xiàn)遠(yuǎn)程命令

HTTP 響應(yīng)包含車(chē)主的姓名、電話號(hào)碼和電子郵件地址。庫(kù)里表示：我們能夠使用正常的應(yīng)用程序憑證和修改后的通道頭驗(yàn)證進(jìn)入經(jīng)銷(xiāo)商門(mén)戶。

從那里，攻擊者可以通過(guò) API 輸入車(chē)輛的 VIN（車(chē)輛識(shí)別碼），并在車(chē)主不知情的情況下遠(yuǎn)程跟蹤、解鎖、啟動(dòng)或鳴笛。

起亞門(mén)戶網(wǎng)站的漏洞允許在未經(jīng)授權(quán)的情況下隱秘地訪問(wèn)車(chē)輛，因?yàn)檎鐜?kù)里解釋的那樣，從受害者的角度來(lái)看，他們的車(chē)輛被訪問(wèn)后沒(méi)有任何通知，他們的訪問(wèn)權(quán)限也沒(méi)有被修改。

庫(kù)里補(bǔ)充道：這些漏洞后來(lái)都得到了修復(fù)，這個(gè)工具也從未發(fā)布過(guò)，起亞團(tuán)隊(duì)已經(jīng)證實(shí)這從未被惡意利用過(guò)。