2024/09/27 14:42
高佳菁/核稿編輯
〔財經頻道/綜合報導〕KIA(起亞)車主注意了,安全研究人員透露,它能夠透過韓國汽車製造商起亞公司經銷商入口網站上的嚴重缺陷獲得存取權限,經由該入口網站可能被用來控制任何配備遠端硬體的起亞汽車,此外,這些缺陷允許使用該硬體存取任何起亞車主個人信息,無論用戶是否擁有有效的起亞Connect訂閱。
雖然此缺陷在研究人員通報起亞後,已完成修復,不過,安全軟體高層警告,起亞漏洞不僅僅是一個技術缺陷,它對整個汽車行業來說都是一個危險信號。
siliconangle報導,研究人員之一Sam Curry週五詳細介紹,於6月11日在起亞經銷商網站上發現了1組漏洞,允許僅使用車牌遠端控制起亞車輛的關鍵功能,這些攻擊可以在30秒內在任何支援硬體的車輛上遠端執行。
除了能夠存取和遠端控制起亞汽車外,這些漏洞還可以用來獲取車主的個人信息,包括姓名、電話號碼、電子郵件地址和實際地址,此外,還可能允許攻擊者在受害者不知情的情況下,將自己添加為受害者車輛上的隱形第2用戶。
安全人員曝起亞遠端系統嚴重缺陷,可能允許駭客控制車輛(路透資料照)
研究人員建立了1個工具來演示漏洞的影響,並用影片揭露,在公開之前,研究人員確實向起亞通報了這些漏洞,並且它們已經得到修復,但它們首先存在的事實本身就令人擔憂,連網汽車的安全性。
Synopsys 軟體完整性集團網路安全策略和解決方案高級經理米塔爾(Akhil Mittal)透過電子郵件告訴 SiliconANGLE,起亞漏洞不僅僅是一個技術缺陷,它對整個汽車行業來說都是一個危險信號。
米塔爾解釋說,該報告展示了現代汽車如何成為網路犯罪分子的主要目標,從物理盜竊轉向數位利用,駭客只需使用車牌號碼就可以解鎖、跟踪甚至啟動你的汽車,這種想法聽起來像科幻小說,但今天它正在發生。