现代和起亚汽车爆出逻辑漏洞,只需一根 USB 线即可开走汽车
2023-2-16 13:19:28 Author: www.freebuf.com(查看原文) 阅读量:26 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bleeping Computer 网站披露,韩国汽车制造商现代(Hyundai)和起亚(Kia)给旗下约 830 万辆汽车进行了防盗安全更新(预估有 380 万辆现代汽车和 450 万辆起亚汽车)。1676524868_63edbd44899dd7fdb253e.png!small?1676524869348

据悉,此次安全升级的缘由是 2022 年 7 月 TikTok 上疯狂传播的“Kia Challenge”活动,“实验人员”只需一根 USB 线即可盗走现代或者亚汽车,虽然此举本质上是一种偷车行为,但汽车存在安全逻辑漏洞的问题还是引起广泛讨论。

随着“挑战”事件发酵,现代汽车发布公告表示,为降低犯罪分子针对其没有按钮式点火装置和固定防盗装置的车辆盗窃案数量,公司正在推出一个免费的防盗软件升级,以防止车辆被盗。1676526602_63edc40aa22c57360bdbb.png!small?1676526603469

现代和起亚汽车存在安全漏洞

现代和起亚汽车存在明显逻辑漏洞。正常情况下,钥匙启动车辆需要绕过防盗器,但这两个品牌的部分车型允许任何 "转动钥匙启动 "系统绕过防盗器,这使得盗贼可以使用任何 USB 电缆强行激活“点火桶”,从而启动车辆。

此外,“Kia Challenge”之所以影响如此之大,以至于在洛杉矶,这两个品牌 2022 年的盗窃案与前一年相比陡然增加了 85%,在芝加哥,针对这两个品牌的盗窃案同样增加了 9 倍。

根据美国交通部(NHTSA)发表文章的文章来看,安全漏洞影响了大约 380 万辆现代汽车和 450 万辆起亚汽车。

现代和起亚表示正在进行软件升级

自 2022 年 11 月以来,这两个汽车品牌一直在与美国各地的执法机构合作,提供数以万计的方向盘锁。为了更好的解决这个问题,两家车给所有受影响的车辆免费提供安全更新。

近日,已经开始向 100 多万辆 2017-2020 年伊兰特、2015-2019 年索纳塔和 2020-2021年 Venue 汽车进行安全升级。

值得一提的是,免费升级所需时间不超过一个小时,起亚、现代将陆续通知符合条件的车主进行更新。第二阶段的安全更新将在 2023 年 6 月前完成,主要针对以下车型。

2018-2022年雅绅特

2011-2016年伊兰特

2021-2022年伊兰特

2018-2020年伊兰特GT

2011-2014 Genesis Coupe

2018-2022年 科纳

2020-2021 Palisade

2013-2018 圣达菲运动版

2013-2022年 圣达菲

2019款圣达菲XL

2011-2014 索纳塔

2011-2022年 图森

2012-2017年,2019-2021年Veloster

根据现代车企发布的内容来看,软件升级主要修改了 "从钥匙到启动 "的逻辑。升级后,只有当钥匙扣被用来解锁车辆时,点火装置才会启动。

此外,现代公司还将为其客户提供一张车窗贴纸,让盗贼知道该车的软件已经升级,以期中和社交媒体宣传的黑客行为,阻止任何企图。1676528163_63edca23101a579ac7b58.png!small?1676528164125

对于没有发动机防盗系统,无法接受修复软件升级的车型,现代汽车将为车主支付方向盘锁的费用。起亚承诺将很快推出其软件升级,但尚未发布任何具体日期或细节的公告。

参考文章:

https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/


文章来源: https://www.freebuf.com/news/357767.html
如有侵权请联系:admin#unsafe.sh