引言

2024年9月26日 WIRED網站發布文章《Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug》，揭露一項Kia汽車網路門戶的嚴重漏洞。該漏洞允許獨立安全研究人員通過簡單的Web漏洞，遠程追蹤、解鎖並啟動數百萬輛Kia車輛。這一事件凸顯了汽車產業因網路連線功能而面臨的新興資安風險。本報告基於該報導，整理攻擊手法、潛在影響，提供車載產品開發商產品開發之參考。

攻擊背景與漏洞

發現此次漏洞由一組獨立安全研究人員發現，針對Kia的網路門戶（Web Portal），該門戶用於管理車輛的聯網功能，如Kia Connect服務。研究人員發現，通過該漏洞，他們能將車輛的遠程控制權從車主的手機轉移至駭客的設備。攻擊只需掃描車輛車牌號碼，數秒內即可實現定位、解鎖、鳴笛或啟動引擎。該漏洞於2024年6月被報告給Kia，該公司隨後修補了問題，但未對研究人員的進一步詢問做出回應。這已是Kia第二次被發現類似漏洞，顯示汽車產業Web安全的普遍不足。
研究團隊測試了多輛Kia車輛，包括租賃車、朋友車輛及經銷商庫存車，結果顯示漏洞適用於2013年後生產的絕大多數Kia車輛。雖然攻擊無法控制駕駛系統（如轉向或煞車）或繞過引擎防盜裝置，但可與其他竊車技術結合，特別是針對無防盜裝置的低端車型。

攻擊手法與技術細節

攻擊利用Kia網路門戶的Web漏洞，具體手法包括：

1. 初始存取：駭客通過Kia的Web門戶註冊假帳戶，繞過身份驗證，獲取存取權限。
2. 漏洞利用：利用不當認證（Improper Authentication）和不安全直接物件參考（IDOR），駭客輸入車牌號碼獲取車輛識別號（VIN），並通過API發送遠程指令。
3. 控制權轉移：將車輛控制權轉至駭客自製應用程式，實現定位、解鎖和啟動功能。
4. 隱蔽性：攻擊無需車主知曉，無通知機制，增加了隱蔽性。

該漏洞屬於Web應用程式常見問題，研究人員指出，類似漏洞在過去兩年中也影響了Acura、Genesis、Honda、Hyundai、Infiniti和Toyota等品牌的車輛，顯示汽車產業對Web安全的普遍忽視。資安風險與影響Kia漏洞帶來多重資安風險：

1. 車輛安全：駭客可解鎖並啟動車輛，增加竊車或惡意騷擾風險。
2. 隱私洩露：攻擊可能暴露車主姓名、地址、電話等個人資訊，導致身份盜用。
3. 大規模威脅：數百萬輛車受影響，存在大規模攻擊可能性。
4. 聲譽損害：Kia未及時回應可能削弱消費者信任。
5. 行業警鐘：汽車聯網功能的普及暴露了Web安全的系統性問題。

雖然Kia已修補漏洞，但研究人員警告，汽車產業的Web安全問題遠未解決，類似漏洞可能持續存在。行動建議為防範類似攻擊，企業與車主可採取以下措施：

1. 強化組態管理：
   • 參考ISO 27001標準，修補Web應用程式漏洞，特別是API和身份驗證機制。
   • 定期稽核汽車聯網系統，確保無未授權存取。
2. 提升用戶意識：
   • 教育車主避免點擊可疑連結或下載未驗證應用程式。
   • 檢查Kia Connect服務的更新狀態，確保使用最新版本。
3. 部署進階防護：
   • 使用入侵檢測系統（IDS）監控異常網路活動。
   • 實施多因素身份驗證（MFA），保護個人帳戶。
4. 監控與回報：
   • 追蹤車輛異常行為（如無故鳴笛），及時報告給製造商。
   • 與汽車安全研究機構合作，獲取最新威脅情報。
5. 產業合作：
   • 汽車製造商應加強Web安全培訓，參考安全編碼最佳實踐。

Kia網路漏洞事件揭示了汽車產業因聯網功能而面臨的資安挑戰。研究人員通過簡單Web漏洞實現遠程控制，暴露了身份驗證和API配置的薄弱環節。雖然Kia已修補漏洞，但類似問題的普遍性要求整個產業重新審視Web安全策略。對於台灣企業與車主，隨著智慧車輛普及，採取主動防禦措施至關重要。通過配置管理、用戶教育和產業合作，可有效降低風險，保護車輛與個人隱私。