起亚汽车官网出远程操控漏洞，黑客可通过攻击经销商账户实现30秒远程操控数百万辆汽车

起亚，被曝出管网安全漏洞。

近日，据媒体报道，起亚汽车的官方网站存在一处安全漏洞，黑客只需使用目标车辆的车牌，就能定位并窃取数百万辆2013年后生产的起亚汽车控制权，并对具备互联网连接功能的车辆进行远程操控。这项安全风险引起了业界的广泛关注。

而这是在今年六月被库里发现的，黑客能利用该漏洞能在30秒内控制任何配备远程硬件的起亚汽车，在几秒内实现包括定位追踪、解锁打开车门、按响喇叭或者启动引擎等操作，无论其是否有激活的起亚互联订阅。

此外，他们还发现，攻击者可以利用后台经销商 API完成以下操作，包括：生成经销商令牌并从 HTTP 响应中获取该令牌；访问受害者的电子邮件地址和电话号码；使用泄露的信息修改车主的访问权限；将攻击者控制的电子邮件添加到受害者的车辆上，从而实现远程命令。

这些漏洞还暴露了车主的敏感个人信息，包括姓名、电话号码、电子邮件地址和实际地址，并可能使攻击者在车主不知情的情况下将自己添加为目标车辆的第二用户。

而在起亚被告知后，官方表示了高度重视，目前已经修复了这个问题。

不过，这个漏洞是通过利用起亚客户和经销商网站后端的一个简单漏洞实现的，让黑客获得与经销商相同的权限，从而可以将车辆功能的控制权重新分配给任何他们创建的客户账户，而这也意味着，起亚官方或同样拥有以上所述行为的控制权，而这，或许才是最令人害怕的地方。