近日，起亚汽车有安全研究人员发现起亚汽车经销商门户网站存在一个关键漏洞，经销黑客只需使用目标车辆的商网数百车牌
，就能定位并窃取数百万辆 2013 年后生产的站曝重漏起亚汽车。

大约在2022 年，出严操控安全研究员和漏洞赏金猎人萨姆-库里等人发现了影响十多家汽车公司的洞黑其他关键漏洞，这些漏洞可以让犯罪分子远程定位、秒内禁用启动器、远程解锁和启动法拉利
、起亚汽车宝马、经销劳斯莱斯、商网数百保时捷和其他汽车制造商生产的云计算站曝重漏 1500 多万辆汽车。

今天 ，出严操控库里透露称起亚门户网站漏洞最早是洞黑在今年6月被发现的，黑客利用该漏洞能在 30 秒内控制任何配备远程硬件的秒内起亚汽车 ，无论其是否有激活的起亚互联订阅。

这些漏洞还暴露了车主的敏感个人信息 ，包括姓名、电话号码、服务器租用电子邮件地址和实际地址，并可能使攻击者在车主不知情的情况下将自己添加为目标车辆的第二用户。

为了进一步证明这一问题
，研究小组制作了一个工具，展示攻击者如何输入汽车牌照，并在 30 秒内远程锁定或解锁汽车、启动或停止汽车、按喇叭或定位车辆 。

研究人员在起亚的 kiaconnect.kdealer.com 经销商门户网站上注册了一个经销商账户，以获取这些信息 。

通过身份验证后 ，模板下载他们生成了一个有效的访问令牌 ，该令牌允许他们访问后端经销商 API，从而获得车主的重要详细信息和对汽车遥控器的完全访问权限。

他们发现 ，攻击者可以利用后台经销商 API完成以下操作 ，包括 ：

生成经销商令牌并从 HTTP 响应中获取该令牌访问受害者的电子邮件地址和电话号码使用泄露的信息修改车主的访问权限将攻击者控制的电子邮件添加到受害者的车辆上 ，免费模板从而实现远程命令

HTTP 响应包含车主的姓名、电话号码和电子邮件地址。库里表示：我们能够使用正常的应用程序凭证和修改后的通道头验证进入经销商门户。

从那里 ，攻击者可以通过 API 输入车辆的 VIN（车辆识别码），并在车主不知情的情况下远程跟踪
、解锁、启动或鸣笛。

起亚门户网站的亿华云漏洞允许在未经授权的情况下隐秘地访问车辆，因为正如库里解释的那样 ，从受害者的角度来看，他们的车辆被访问后没有任何通知，他们的访问权限也没有被修改 。

库里补充道
 ：这些漏洞后来都得到了修复，这个工具也从未发布过  ，起亚团队已经证实这从未被恶意利用过 。

源码下载