起亚经销商网站曝出严重漏洞！黑客可在30秒内远程操控数百万辆汽车

发布时间：2025-12-07 20:07:32 作者：玩站小弟

近日，有安全研究人员发现起亚汽车经销商门户网站存在一个关键漏洞，黑客只需使用目标车辆的车牌，就能定位并窃取数百万辆 2013 年后生产的起亚汽车。大约在2022 年，安全研究员和漏洞赏金猎人萨姆-库里。

近日，起亚汽车有安全研究人员发现起亚汽车经销商门户网站存在一个关键漏洞，经销黑客只需使用目标车辆的商网数百车牌，就能定位并窃取数百万辆 2013 年后生产的站曝重漏起亚汽车。

大约在2022 年，出严操控安全研究员和漏洞赏金猎人萨姆-库里等人发现了影响十多家汽车公司的洞黑其他关键漏洞，这些漏洞可以让犯罪分子远程定位、秒内禁用启动器、远程解锁和启动法拉利、起亚汽车宝马、经销劳斯莱斯、商网数百保时捷和其他汽车制造商生产的建站模板站曝重漏 1500 多万辆汽车。

今天，出严操控库里透露称起亚门户网站漏洞最早是洞黑在今年6月被发现的，黑客利用该漏洞能在 30 秒内控制任何配备远程硬件的秒内起亚汽车，无论其是否有激活的起亚互联订阅。

这些漏洞还暴露了车主的敏感个人信息，包括姓名、电话号码、源码库电子邮件地址和实际地址，并可能使攻击者在车主不知情的情况下将自己添加为目标车辆的第二用户。

为了进一步证明这一问题，研究小组制作了一个工具，展示攻击者如何输入汽车牌照，并在 30 秒内远程锁定或解锁汽车、启动或停止汽车、按喇叭或定位车辆。

研究人员在起亚的 kiaconnect.kdealer.com 经销商门户网站上注册了一个经销商账户，以获取这些信息。

通过身份验证后，高防服务器他们生成了一个有效的访问令牌，该令牌允许他们访问后端经销商 API ，从而获得车主的重要详细信息和对汽车遥控器的完全访问权限。

他们发现，攻击者可以利用后台经销商 API完成以下操作，包括：

生成经销商令牌并从 HTTP 响应中获取该令牌访问受害者的电子邮件地址和电话号码使用泄露的信息修改车主的访问权限将攻击者控制的电子邮件添加到受害者的车辆上，香港云服务器从而实现远程命令

HTTP 响应包含车主的姓名、电话号码和电子邮件地址。库里表示：我们能够使用正常的应用程序凭证和修改后的通道头验证进入经销商门户。

从那里，攻击者可以通过 API 输入车辆的 VIN（车辆识别码），并在车主不知情的情况下远程跟踪、解锁、启动或鸣笛。

起亚门户网站的模板下载漏洞允许在未经授权的情况下隐秘地访问车辆，因为正如库里解释的那样，从受害者的角度来看，他们的车辆被访问后没有任何通知，他们的访问权限也没有被修改。

库里补充道：这些漏洞后来都得到了修复，这个工具也从未发布过，起亚团队已经证实这从未被恶意利用过。

亿华云

Tag：

审计发现 FBI 的数据存储管理存在重大漏洞
据The Hacker News消息，美国司法部监察长办公室 OIG）的一项审计发现， FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在“重大漏洞”。OIG 的审计显示，FBI 对包含敏感
2025-12-07
14款热门勒索软件防护工具盘点
勒索软件病毒正在随着时间的推移变得更具危害性。而糟糕的是，许多新的勒索软件即服务RaaS）团伙也开始不断出现，例如Mindware、Onyx和Black Basta等。如果企业想要避免勒索软件攻击带来
2025-12-07
继蔚来数据泄露后，又一老牌车企泄露200GB用户数据
法国网络安全机构 Anis Haboubi 近日注意到，一名攻击者在一个流行的黑客论坛上出售据称从沃尔沃汽车公司窃取的数据。2022 年 12 月 31 日，论坛上一位昵称为 IntelBroker
2025-12-07
新型恶意软件发展的5大趋势
恶意软件已经存在了很多年，并逐渐演变成一个复杂多变的网络犯罪生态体系。为了获取更大的攻击收益，非法攻击者正在不断寻找新的传播路径和感染手段，并不断尝试任何可行的策略，来增强恶意软件的攻击能力。为了更好
2025-12-07
存储数据多≠优势大？企业身处网络威胁时代该如何驾驭好PII
在技术飞速发展的时代，网络威胁也日益严重。随之而来的是对数据隐私的高度重视。许多企业组织正处于保护个人身份信息PII）的关键时刻，更严格的安全法规、安全挑战和消费者对数据管理的期望提出了一个关键问题：
2025-12-07
Web和移动安全之基本概念和方法
基本概念和方法本节介绍影响安全性的现代Web和移动平台的基本概念和方法。本节中提供的信息旨在作为更好地了解以下各节中安全挑战的基础。与其他软件产品和计算机系统类似，移动操作系统和应用程序以及Web浏览
2025-12-07