未经许可，不得转载。
本文所述所有风险点均已修复。

引言

以下些漏洞已被起亚方面修复；起亚方面确认，这些漏洞从未被恶意利用过。

2024年6月11日，我们发现起亚汽车存在一系列严重安全漏洞，攻击者仅凭车牌号即可远程控制车辆的核心功能。该攻击不需要接触车辆，且只需30秒即可完成，无论车辆是否启用了Kia Connect服务，都可能受到影响。

更为严重的是，攻击者能够在不留痕迹的情况下，获取车主的个人信息，包括姓名、电话号码、电子邮箱及家庭住址。通过这些信息，攻击者可以悄无声息地将自己添加为车辆的“隐形第二用户”，车主对此全然不知。

为展示这些漏洞可能带来的风险，我们开发了一款演示工具。攻击者只需完成两个简单步骤：（1）输入起亚汽车的车牌号，（2）等待约30秒，即可对车辆执行远程指令。

正文

<