车牌信息成安全漏洞：起亚汽车远程控制风险揭示联网车辆网络安全问题

购车者在购买新车时通常会有很多问题，但很少有人会考虑攻击者是否可以仅使用车牌信息远程控制他们的车辆。

然而，这正是数百万起亚汽车所允许的，直到 8 月中旬，在独立安全研究人员提醒他们注意该问题后，该汽车制造商修复了一个允许此类访问的漏洞。

起亚汽车和SUV的远程控制

该故障与同一组研究人员和其他人近年来发现的故障相似，肯定会引发人们对现代互联汽车容易受到网络攻击的高度担忧。

在 9 月 26 日的一份报告中，独立研究员山姆·库里 （Sam Curry） 表示，他在对几年前他和同事在起亚、本田、英菲尼迪、日产、讴歌、宝马、梅赛德斯等公司的车辆中发现的多个缺陷进行一些后续研究时发现了起亚的漏洞。

当时，研究人员展示了任何人都可以如何利用这些漏洞发出命令，以远程锁定和解锁车辆、启动和关闭发动机以及激活车辆的前灯和喇叭。一些漏洞允许攻击者远程接管车主的帐户并锁定他们，使其无法管理自己的车辆，而另一些漏洞则允许远程访问车辆的摄像头，并能够查看车内的实时图像。一些黑客攻击要求对手只拥有车辆识别号，有时甚至只需要车主的电子邮件地址。

汽车 API 协议的问题

与之前的许多缺陷一样，Curry 和他的同事们发现的新问题与应用程序编程接口 （API） 协议有关，该协议支持在 Kia 汽车上执行 Internet-to-vehicle 命令。

研究人员发现，注册起亚经销商帐户并将其验证到该帐户相对容易。然后，他们可以使用生成的访问令牌来调用保留供经销商使用的 API，用于车辆和账户查找、车主注册和其他一些功能。

经过一番探索，研究人员发现，他们可以使用对经销商 API 的访问权限来输入车辆的车牌信息并检索数据，这些数据基本上允许他们控制关键的车辆功能。其中包括打开和关闭点火装置、远程锁定和解锁车辆、激活大灯和喇叭以及确定其确切地理位置等功能。

此外，他们能够检索所有者的个人身份信息 （PII） 并悄悄地将自己注册为主账户持有人。这意味着他们可以控制通常只有所有者才能使用的功能。这些问题影响了从 2024 年和 2025 年一直到 2013 年的一系列起亚车型。对于较旧的车辆，研究人员开发了一种概念验证工具，展示了任何人都可以输入起亚的车牌信息，并在 30 秒内对车辆执行远程命令。

“最近的发现突显了互联汽车中使用的复杂 API 协议（如 gRPC、MQTT 和 REST）所带来的复杂挑战，”API 安全公司 Wallarm 的首席执行官 Ivan Novikov 说。“汽车制造商必须优先加强其网络安全措施，通过实施更强大的身份验证方法和保护通信渠道来防止未经授权的访问。”

Synopsys Software Integrity Group 网络安全战略和解决方案高级经理 Akhil Mittal 表示，这一新发现凸显了互联汽车中最大的漏洞通常与与外部世界通信的系统有关。他指出，始终连接的车辆远程信息处理系统就是此类组件的一个例子。

“信息娱乐系统是另一个问题，因为它们连接到智能手机、应用程序和其他服务，为黑客进入汽车内部网络创造了更多入口点，”Mittal 说。“最近的 Kia 黑客攻击确实凸显了 API 和云服务如何成为弱点;如果控制关键功能的 API 没有得到适当的保护，它们很容易成为攻击者的目标。

令人不安的汽车网络不安全模式

起亚黑客攻击的消息加剧了人们对联网汽车的日益担忧——而不仅仅是它们的安全性。今年早些时候，两名美国高级立法者抨击通用汽车、本田和现代从联网汽车收集有关车主及其活动的广泛数据。这两位立法者，俄勒冈州民主党参议员罗恩·怀登（Ron Wyden）和马萨诸塞州民主党参议员爱德华·马基（Edward Markey）称，这三家汽车制造商收集的数据是全行业面临的一个症状性问题，凸显了对汽车制造商行为进行更严格监督和审查的必要性。

“事实证明，汽车供应商在安全方面一次又一次地不负责任，我想知道在采取行动之前，我们还会看到多少，”软件安全公司 ForAllSecure 的首席执行官 David Brumley 说。“昨天，普通司机担心 [他们的] 遥控钥匙被盗。如今，他们不得不担心他们的经销商或制造商是否有不受保护的 API。[国家运输安全委员会] 在哪里？

起亚汽车没有立即回应 Dark Reading 的置评请求。