现代和起亚紧急修复严重漏洞,只需USB电缆即可盗走车辆
编译:代码卫士
现代汽车宣布称,“美国发生越来越多的车辆失窃事件,攻击者无需按钮点火即可实施偷盗且不会触及反偷盗设备。为此,现代推出免费的反盗窃软件更新,阻止攻击者通过TikTok和其它社交媒体频道上的热门偷盗方法开走车辆。”
报道称,自2022年7月起,TikTok上挂起一股关于车辆hack的风潮,相关视频中展示了如何清除转向柱罩找到USB-A卡槽,启动汽车。
该问题的本质是一个逻辑缺陷,它可导致“转动钥匙启动”系统绕过用于验证车辆ECU钥匙应答器中代码真实性的防盗系统,从而导致攻击者能够使用任何USB电缆强制启动点火缸启动车辆。这种所谓的“起亚挑战”活动在洛杉矶造成的影响非常重大,起亚和现代在2022年的失窃数量比2021年上涨了85%,而芝加哥的汽车失窃率是上一年的9倍。
美国交通部发布文章解释称,该漏洞影响约380万辆起亚汽车和450万辆起亚汽车。交通部还指出这些事件导致至少14起已经证实的汽车事故和8人死亡的后果。
正在进行软件升级
自2022年11月起,起亚和现代就一直在和美国各地的执法部门协作,提供数万个汽车拐杖锁。不过软件更新将更好地解决该问题。
软件更新将为所有受影响车辆免费提供,已从前几天开始推向100多万辆 2017-2020 Elantra、2015-2019 Sonata和2020-2021 Venue 车型。第二轮更新推出时间是在2023年6月,将为如下车型提供:
2018-2022 Accent
2011-2016 Elantra
2021-2022 Elantra
2018-2020 Elantra GT
2011-2014 Genesis Coupe
2018-2022 Kona
2020-2021 Palisade
2013-2018 Santa Fe Sport
2013-2022 Santa Fe
2019 Santa Fe XL
2011-2014 Sonata
2011-2022 Tucson
2012-2017, 2019-2021 Veloster
免费更新将安装在美国现代的官方交易商和服务网络上,安装时间不到1小时。符合要求的车主将收到公司的单独通知。现代解释称,软件更新将在车主通过实体钥匙锁门时,修改“转动钥匙启动”的逻辑防止车辆点火启动。升级后,只有在钥匙用于打开车门时才会启动点火。
现代也将为客户提供窗户便贴,提醒盗贼车辆软件已更新,来消除社交媒体所推广的hack活动。对于因没有引擎防盗系统而无法接受软件升级的车型,现代将覆盖拐杖锁的成本。
起亚也表示很快将推出软件升级,但并未公布具体日期或其它详情。
黑客可通过Rolling-PWN 攻击,远程解锁本田汽车
利用中继攻击解锁并开走汽车,本田不打算修复(含视频)
丰田汽车顶级供应商 Denso 疑遭勒索攻击,被威胁泄露商业机密因供应商遭不明网络攻击,丰田汽车宣布停产
https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/#comments
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。