由於Kia的web portal存在安全漏洞的關係,令黑客有機可乘可以入侵汽車和追蹤車主,而且只需要汽車的VIN號碼或是車牌號嗎,似乎不太需要太多事前準備。
過度互聯的汽車
在過去的數十年,汽車逐漸演變成了一台有車輪的巨大電腦,即使較少「智能」的版本,也包含不少電子零件和感應器,至少用作動態感應和GPS功能,此外,近年更牽起連接至互聯網的熱潮,而隨之而來的是風險,除了收集大量車主的數據並送到製造商手上再加以轉售,另一個問題是持續連接互聯網,意味著如果存在安全漏洞,不論發生在汽車自身或雲端系統,只要有人加以利用就能入侵系統和追蹤車主,甚至製造商也不知道事故的發生。
一個臭蟲出事
Kia這次的事故正是由一個臭蟲所引起,研究人員在Kia車主及零售商用的web portal上發現安全漏洞,結果導致任何人都能登記成為汽車零售商,只需要幾個簡單的步驟,這容許攻擊者能存取即使零售商也不應該擁有的功能,至少在車輛交付給客戶後就不具備的功能,特別是網站能夠搜层任何Kia汽車,然後存取車主的個人資料(姓名、電話號碼、電郵地址和居住地址),只需要知道汽車的VIN號碼,由於VIN號碼並非保密的資訊,在某些國家甚至是公開的資訊,例如在美國,有很多網上服務就能夠利用汽車車牌號碼尋找VIN號碼。
在成功尋找汽車,攻擊者能夠使用車主的資料在Kia系統登記由他們控制的帳號成為新車主,然後他們就能透過流動應用程式,使用各種真正車主能享用的各種功能,而以上功能在Kia系統上所有登記的零售商都能使用,而並不限於出售該汽車的零售商。
瞬間入侵汽車
研究人員然後開發了一個實驗用的應用程式,只需簡單輸入車牌號碼,然後就能在幾秒內控制任何Kia車輛,該應用程式能自能經由相關服務搜尋該汽車的VIN,並在研究員的帳號上登記該車輛,隨後一個簡單按鍵攻擊者就能取得車輛現時位置,鎖上或解鎖車門,啟動或停止引擎,甚至按喇叭。在通常情況下,這些功能並不足以盜汗汽車,現代車輛通常配備了防盜器,需要實體車匙才能關閉,但也存在例外,不過通常是不會引起盜賊興趣的廉價車輛。
無論如何,有關安全漏洞能夠輕易用作追蹤車主,盜竊留在車中的財物(或放入物件),或引起意料之外的行為影響車主的駕駛生活。幸好研究人員已通知製造商,待對於修復臭蟲後才公開有關的事故,不過也認為未來很大機會仍會找到似的安全漏洞。
資料來源:Kaspersky Blog