未經許可，不得轉載。
本文所述所有風險點均已修復。

引言

以下些漏洞已被起亞方面修復；起亞方面確認，這些漏洞從未被惡意利用過。

2024年6月11日，我們發現起亞汽車存在一系列嚴重安全漏洞，攻擊者僅憑車牌號即可遠程控制車輛的核心功能。該攻擊不需要接觸車輛，且只需30秒即可完成，無論車輛是否啟用了Kia Connect服務，都可能受到影響。

更為嚴重的是，攻擊者能夠在不留痕跡的情況下，獲取車主的個人信息，包括姓名、電話號碼、電子郵箱及家庭住址。通過這些信息，攻擊者可以悄無聲息地將自己添加為車輛的“隱形第二用戶”，車主對此全然不知。

為展示這些漏洞可能帶來的風險，我們開發了一款演示工具。攻擊者只需完成兩個簡單步驟：（1）輸入起亞汽車的車牌號，（2）等待約30秒，即可對車輛執行遠程指令。

正文

<