起亚男孩显然是以艰难的方式行事,因为安全研究人员最近发现,2013年后制造的数百万辆汽车可以通过他们的车牌被接管。这是一个令人震惊的发现,因为“钥匙”有效地安装在后保险杠上。
该漏洞是由包括萨姆·库里、伊恩·卡罗尔、内科·里维拉和贾斯汀·莱因哈特在内的一组研究人员在6月份发现的。它使恶意攻击者能够在大约30秒内控制车辆,该漏洞还暴露了客户信息,包括他们的姓名、电话号码、电子邮件地址和家庭地址。
更多:无钥匙入室偷车案激增,黑客不需要技能,只需要廉价设备
虽然这次攻击及其解释相当技术性,但库里在他的网站上解释说,他们能够注册并被认证为经销商,这使他们能够访问起亚经销商门户网站。从那里,他们学会了如何获取客户信息,并成为目标车辆的“主要账户持有人”。这在一定程度上是通过将与车辆连接的电子邮件地址更改为攻击者控制的帐户来实现的。Malware Bytes还指出,他们需要VIN,所以他们使用了“第三方API将车牌号码转换为VIN”。
这是CliffNotes版本,但底线是,坏演员可以创建一个工具来远程锁定/解锁车辆,启动和停止车辆,以及定位它们。这几乎就是你所能要求的一切。
受影响的车辆名单很长,似乎包括几乎每一辆起亚。其中有Seltos、Soul、Sorento、Sportage、Stinger和Telluride。福特、尼罗、K5、EV6和EV9也容易受到攻击。
值得庆幸的是,道德黑客发现了这个漏洞,并在6月初联系了起亚。起亚做出了回应,并开始调查,最终在8月份解决了这个漏洞。在团队进行了测试以确保问题确实得到解决后,他们决定将他们的发现公之于众。他们补充说,他们的工具从未发布,起亚确定该漏洞从未被恶意利用。
还木有评论哦,快来抢沙发吧~