官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Bleeping Computer 网站披露,韩国汽车制造商现代(Hyundai)和起亚(Kia)给旗下约 830 万辆汽车进行了防盗安全更新(预估有 380 万辆现代汽车和 450 万辆起亚汽车)。
据悉,此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动,“实验人员”只需一根 USB 线即可盗走现代或者亚汽车,虽然此举本质上是一种偷车行为,但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。
随着“挑战”事件发酵,现代汽车发布公告表示,为降低犯罪分子针对其没有按钮式点火装置和固定防盗装置的车辆盗窃案数量,公司正在推出一个免费的防盗软件升级,以防止车辆被盗。
现代和起亚汽车存在安全漏洞
现代和起亚汽车存在明显逻辑漏洞。正常情况下,钥匙启动车辆需要绕过防盗器,但这两个品牌的部分车型允许任何 "转动钥匙启动 "系统绕过防盗器,这使得盗贼可以使用任何 USB 电缆强行激活“点火桶”,从而启动车辆。
此外,“Kia Challenge”之所以影响如此之大,以至于在洛杉矶,这两个品牌 2022 年的盗窃案与前一年相比陡然增加了 85%,在芝加哥,针对这两个品牌的盗窃案同样增加了 9 倍。
根据美国交通部(NHTSA)发表文章的文章来看,安全漏洞影响了大约 380 万辆现代汽车和 450 万辆起亚汽车。
现代和起亚表示正在进行软件升级
自 2022 年 11 月以来,这两个汽车品牌一直在与美国各地的执法机构合作,提供数以万计的方向盘锁。为了更好的解决这个问题,两家车给所有受影响的车辆免费提供安全更新。
近日,已经开始向 100 多万辆 2017-2020 年伊兰特、2015-2019 年索纳塔和 2020-2021年 Venue 汽车进行安全升级。
值得一提的是,免费升级所需时间不超过一个小时,起亚、现代将陆续通知符合条件的车主进行更新。第二阶段的安全更新将在 2023 年 6 月前完成,主要针对以下车型。
2018-2022年雅绅特
2011-2016年伊兰特
2021-2022年伊兰特
2018-2020年伊兰特GT
2011-2014 Genesis Coupe
2018-2022年 科纳
2020-2021 Palisade
2013-2018 圣达菲运动版
2013-2022年 圣达菲
2019款圣达菲XL
2011-2014 索纳塔
2011-2022年 图森
2012-2017年,2019-2021年Veloster
根据现代车企发布的内容来看,软件升级主要修改了 "从钥匙到启动 "的逻辑。升级后,只有当钥匙扣被用来解锁车辆时,点火装置才会启动。
此外,现代公司还将为其客户提供一张车窗贴纸,让盗贼知道该车的软件已经升级,以期中和社交媒体宣传的黑客行为,阻止任何企图。
对于没有发动机防盗系统,无法接受修复软件升级的车型,现代汽车将为车主支付方向盘锁的费用。起亚承诺将很快推出其软件升级,但尚未发布任何具体日期或细节的公告。
参考文章:
https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/