購(gòu)車者在購(gòu)買新車時(shí)通常會(huì)有很多問題，但很少有人會(huì)考慮攻擊者是否可以僅使用車牌信息遠(yuǎn)程控制他們的車輛。

然而，這正是數(shù)百萬起亞汽車所允許的，直到 8 月中旬，在獨(dú)立安全研究人員提醒他們注意該問題后，該汽車制造商修復(fù)了一個(gè)允許此類訪問的漏洞。

起亞汽車和SUV的遠(yuǎn)程控制

該故障與同一組研究人員和其他人近年來發(fā)現(xiàn)的故障相似，肯定會(huì)引發(fā)人們對(duì)現(xiàn)代互聯(lián)汽車容易受到網(wǎng)絡(luò)攻擊的高度擔(dān)憂。

在 9 月 26 日的一份報(bào)告中，獨(dú)立研究員山姆·庫(kù)里 （Sam Curry） 表示，他在對(duì)幾年前他和同事在起亞、本田、英菲尼迪、日產(chǎn)、謳歌、寶馬、梅賽德斯等公司的車輛中發(fā)現(xiàn)的多個(gè)缺陷進(jìn)行一些后續(xù)研究時(shí)發(fā)現(xiàn)了起亞的漏洞。

當(dāng)時(shí)，研究人員展示了任何人都可以如何利用這些漏洞發(fā)出命令，以遠(yuǎn)程鎖定和解鎖車輛、啟動(dòng)和關(guān)閉發(fā)動(dòng)機(jī)以及激活車輛的前燈和喇叭。一些漏洞允許攻擊者遠(yuǎn)程接管車主的帳戶并鎖定他們，使其無法管理自己的車輛，而另一些漏洞則允許遠(yuǎn)程訪問車輛的攝像頭，并能夠查看車內(nèi)的實(shí)時(shí)圖像。一些黑客攻擊要求對(duì)手只擁有車輛識(shí)別號(hào)，有時(shí)甚至只需要車主的電子郵件地址。

汽車 API 協(xié)議的問題

與之前的許多缺陷一樣，Curry 和他的同事們發(fā)現(xiàn)的新問題與應(yīng)用程序編程接口 （API） 協(xié)議有關(guān)，該協(xié)議支持在 Kia 汽車上執(zhí)行 Internet-to-vehicle 命令。

研究人員發(fā)現(xiàn)，注冊(cè)起亞經(jīng)銷商帳戶并將其驗(yàn)證到該帳戶相對(duì)容易。然后，他們可以使用生成的訪問令牌來調(diào)用保留供經(jīng)銷商使用的 API，用于車輛和賬戶查找、車主注冊(cè)和其他一些功能。

經(jīng)過一番探索，研究人員發(fā)現(xiàn)，他們可以使用對(duì)經(jīng)銷商 API 的訪問權(quán)限來輸入車輛的車牌信息并檢索數(shù)據(jù)，這些數(shù)據(jù)基本上允許他們控制關(guān)鍵的車輛功能。其中包括打開和關(guān)閉點(diǎn)火裝置、遠(yuǎn)程鎖定和解鎖車輛、激活大燈和喇叭以及確定其確切地理位置等功能。

此外，他們能夠檢索所有者的個(gè)人身份信息 （PII） 并悄悄地將自己注冊(cè)為主賬戶持有人。這意味著他們可以控制通常只有所有者才能使用的功能。這些問題影響了從 2024 年和 2025 年一直到 2013 年的一系列起亞車型。對(duì)于較舊的車輛，研究人員開發(fā)了一種概念驗(yàn)證工具，展示了任何人都可以輸入起亞的車牌信息，并在 30 秒內(nèi)對(duì)車輛執(zhí)行遠(yuǎn)程命令。

“最近的發(fā)現(xiàn)突顯了互聯(lián)汽車中使用的復(fù)雜 API 協(xié)議（如 gRPC、MQTT 和 REST）所帶來的復(fù)雜挑戰(zhàn)，”API 安全公司 Wallarm 的首席執(zhí)行官 Ivan Novikov 說?！捌囍圃焐瘫仨殐?yōu)先加強(qiáng)其網(wǎng)絡(luò)安全措施，通過實(shí)施更強(qiáng)大的身份驗(yàn)證方法和保護(hù)通信渠道來防止未經(jīng)授權(quán)的訪問?！?/p>

Synopsys Software Integrity Group 網(wǎng)絡(luò)安全戰(zhàn)略和解決方案高級(jí)經(jīng)理 Akhil Mittal 表示，這一新發(fā)現(xiàn)凸顯了互聯(lián)汽車中最大的漏洞通常與與外部世界通信的系統(tǒng)有關(guān)。他指出，始終連接的車輛遠(yuǎn)程信息處理系統(tǒng)就是此類組件的一個(gè)例子。

“信息娛樂系統(tǒng)是另一個(gè)問題，因?yàn)樗鼈冞B接到智能手機(jī)、應(yīng)用程序和其他服務(wù)，為黑客進(jìn)入汽車內(nèi)部網(wǎng)絡(luò)創(chuàng)造了更多入口點(diǎn)，”Mittal 說。“最近的 Kia 黑客攻擊確實(shí)凸顯了 API 和云服務(wù)如何成為弱點(diǎn);如果控制關(guān)鍵功能的 API 沒有得到適當(dāng)?shù)谋Ｗo(hù)，它們很容易成為攻擊者的目標(biāo)。

令人不安的汽車網(wǎng)絡(luò)不安全模式

起亞黑客攻擊的消息加劇了人們對(duì)聯(lián)網(wǎng)汽車的日益擔(dān)憂——而不僅僅是它們的安全性。今年早些時(shí)候，兩名美國(guó)高級(jí)立法者抨擊通用汽車、本田和現(xiàn)代從聯(lián)網(wǎng)汽車收集有關(guān)車主及其活動(dòng)的廣泛數(shù)據(jù)。這兩位立法者，俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）和馬薩諸塞州民主黨參議員愛德華·馬基（Edward Markey）稱，這三家汽車制造商收集的數(shù)據(jù)是全行業(yè)面臨的一個(gè)癥狀性問題，凸顯了對(duì)汽車制造商行為進(jìn)行更嚴(yán)格監(jiān)督和審查的必要性。

“事實(shí)證明，汽車供應(yīng)商在安全方面一次又一次地不負(fù)責(zé)任，我想知道在采取行動(dòng)之前，我們還會(huì)看到多少，”軟件安全公司 ForAllSecure 的首席執(zhí)行官 David Brumley 說?！白蛱?，普通司機(jī)擔(dān)心 [他們的] 遙控鑰匙被盜。如今，他們不得不擔(dān)心他們的經(jīng)銷商或制造商是否有不受保護(hù)的 API。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明