韓國現代汽車集團子公司KIA(起亞)汽車出現嚴重資安漏洞,外媒《SiliconANGLE》指出,一群資安研究人員發現KIA經銷商入口網站是重大資安破口,恐使任何具備遠端硬體的KIA車輛遭駭客入侵,駭客甚至能透過車牌號碼「遠端操控」車輛。
近年來,隨著「連網汽車」技術普及,具備遠端操控與解鎖功能的車輛逐漸受到市場青睞;然而,這些先進功能也讓車輛成為駭客頭號目標。報導指稱,該漏洞影響範圍廣泛,即便車主並未訂閱KIA Connect服務,只要車輛配備相關硬體,駭客就能透過這一漏洞控制車輛的關鍵功能。
資安研究人員Sam Curry說明,6月11日發現這項重大漏洞後,便透過經銷商入口網站,發現駭客能以車牌號碼作為攻擊切入點,並在短短30秒內遠端操控KIA車輛的功能。這些漏洞還能讓駭客取得車主姓名、電話號碼、電子郵件以及住址等敏感個資。更令人擔憂的是,駭客甚至能在車主完全不知情的情況下,將自己「隱形」添加成為車輛的第二用戶。
研究團隊為了展示漏洞的嚴重性,還開發了一個工具來演示這些漏洞的影響,並透過影片詳述攻擊的過程。值得慶幸的是,團隊在公開訊息前已通知KIA車廠,據悉,相關漏洞目前已被修復。然而,上述漏洞已引發社會對連網車輛安全性的嚴重關注。
KIA並不是唯一提供遠端連接技術的車輛製造商,與傳統燃油車相比,Synopsys Software Integrity Group資深網路安全策略與解決方案經理Akhil Mittal受訪指出,「KIA這次出現的資安漏洞不僅僅是技術缺陷,而是對整個汽車產業的警訊」。
Mittal強調,「駭客僅靠車牌號碼就能解鎖、追蹤甚至啟動車輛,這聽起來像科幻電影的情節,如今已成為現實」。這份報告也顯示,連網車輛正成為駭客的主要目標,有朝一日恐從過去的實體竊盜轉變為數位攻擊。