近日,安全研究人員發現了一個驚人的漏洞,讓駭客僅憑車牌號碼就能控制數百萬輛Kia(起亞)汽車。這意味著,駭客只需利用車輛的車牌,即可解鎖和啟動從Kia Forte到電動車EV9等多款車型,這個漏洞對車主的安全與財產構成了極大威脅。
這項漏洞於今年6月被一組研究人員發現,成員包括Sam Curry、Ian Carroll、Neiko Rivera和Justin Rhinehart。他們發現,透過這個漏洞,駭客在約30秒內即可控制車輛,且還可存取車主的個人訊息,例如姓名、電話號碼、電子郵件地址和住址。
Sam Curry在他自己的網站上解釋了攻擊過程,他們首先註冊並獲得認證成為經銷商,這使得他們能夠進入Kia經銷商的內部系統。進入系統後,他們學會了如何存取客戶資料,並將自己設為目標車輛的「主要帳戶持有人」。他們還利用了一個第三方API,將車牌號轉換為車輛識別碼(VIN),進而完全控制車輛。
這次攻擊的技術細節雖然複雜,但其後果卻相當簡單明了。駭客可以遠端鎖定或解鎖車輛、啟動和停止引擎,甚至能追蹤車輛的位置。這基本上是車輛控制的所有核心功能,讓人驚嘆駭客的掌控能力。
受影響的車輛範圍非常廣泛,幾乎涵蓋了所有Kia車型。包括Kia Seltos、Soul、Sorento、Sportage、Stinger以及Telluride等熱門車型。此外,Kia Forte、Niro、K5、EV6和EV9也無法幸免於此漏洞。
幸運的是,這個漏洞是由道德駭客發現的。他們於6月初聯繫了Kia,並通報了這個嚴重問題。Kia隨後展開調查,並在8月成功修補了漏洞。研究團隊在確認問題修復後,才將這個發現公開。他們強調,所開發的駭客工具從未被發布,而Kia也確認該漏洞未曾被惡意利用。
這起事件為汽車製造廠商敲響了警鐘,隨著車輛日益數位化,資訊安全已成為車主安全的另一關鍵防線。這次漏洞的修補是Kia主動應對的結果,但也提醒其他汽車廠商必須加強內部系統和車輛的資訊防護。
Leave a Reply