Kia系统被骇

近日,安全研究人员发现了一个惊人的漏洞,让骇客仅凭车牌号码就能控制数百万辆Kia汽车。这意味着,骇客只需利用车辆的车牌,即可解锁和启动从Kia Forte到电动车EV9等多款车型,这个漏洞对车主的安全与财产构成了极大威胁。

这项漏洞于今年6月被一组研究人员发现,成员包括Sam Curry、Ian Carroll、Neiko Rivera和Justin Rhinehart。他们发现,透过这个漏洞,骇客在约30秒内即可控制车辆,且还可存取车主的个人讯息,例如姓名、电话号码、电子邮件地址和住址。

Sam Curry在他自己的网站上解释了攻击过程,他们首先注册并获得认证成为经销商,这使得他们能够进入Kia经销商的内部系统。进入系统后,他们学会了如何存取客户资料,并将自己设为目标车辆的「主要帐户持有人」。他们还利用了一个第叁方API,将车牌号转换为车辆识别码(VIN),进而完全控制车辆。

这次攻击的技术细节虽然複杂,但其后果却相当简单明了。骇客可以远端锁定或解锁车辆、启动和停止引擎,甚至能追踪车辆的位置。这基本上是车辆控制的所有核心功能,让人惊叹骇客的掌控能力。

受影响的车辆范围非常广泛,几乎涵盖了所有Kia车型。包括Kia Seltos、Soul、Sorento、Sportage、Stinger以及Telluride等热门车型。此外,Kia Forte、Niro、K5、EV6和EV9也无法幸免于此漏洞。

幸运的是,这个漏洞是由道德骇客发现的。他们于6月初联系了Kia,并通报了这个严重问题。Kia随后展开调查,并在8月成功修补了漏洞。研究团队在确认问题修复后,才将这个发现公开。他们强调,所开发的骇客工具从未被发布,而Kia也确认该漏洞未曾被恶意利用。

这起事件为汽车製造厂商敲响了警钟,随着车辆日益数位化,资讯安全已成为车主安全的另一关键防线。这次漏洞的修补是Kia主动应对的结果,但也提醒其他汽车厂商必须加强内部系统和车辆的资讯防护。