聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

汽车公司现代和起亚推出紧急软件更新，修复多个可被轻易偷盗的车型。

现代汽车宣布称，“美国发生越来越多的车辆失窃事件，攻击者无需按钮点火即可实施偷盗且不会触及反偷盗设备。为此，现代推出免费的反盗窃软件更新，阻止攻击者通过TikTok和其它社交媒体频道上的热门偷盗方法开走车辆。”

报道称，自2022年7月起，TikTok上挂起一股关于车辆hack的风潮，相关视频中展示了如何清除转向柱罩找到USB-A卡槽，启动汽车。

该问题的本质是一个逻辑缺陷，它可导致“转动钥匙启动”系统绕过用于验证车辆ECU钥匙应答器中代码真实性的防盗系统，从而导致攻击者能够使用任何USB电缆强制启动点火缸启动车辆。这种所谓的“起亚挑战”活动在洛杉矶造成的影响非常重大，起亚和现代在2022年的失窃数量比2021年上涨了85%，而芝加哥的汽车失窃率是上一年的9倍。

美国交通部发布文章解释称，该漏洞影响约380万辆起亚汽车和450万辆起亚汽车。交通部还指出这些事件导致至少14起已经证实的汽车事故和8人死亡的后果。

正在进行软件升级

自2022年11月起，起亚和现代就一直在和美国各地的执法部门协作，提供数万个汽车拐杖锁。不过软件更新将更好地解决该问题。

软件更新将为所有受影响车辆免费提供，已从前几天开始推向100多万辆 2017-2020 Elantra、2015-2019 Sonata和2020-2021 Venue 车型。第二轮更新推出时间是在2023年6月，将为如下车型提供：

• 2018-2022 Accent

• 2011-2016 Elantra

• 2021-2022 Elantra

• 2018-2020 Elantra GT

• 2011-2014 Genesis Coupe

• 2018-2022 Kona

• 2020-2021 Palisade

• 2013-2018 Santa Fe Sport

• 2013-2022 Santa Fe

• 2019 Santa Fe XL

• 2011-2014 Sonata

• 2011-2022 Tucson

• 2012-2017, 2019-2021 Veloster

免费更新将安装在美国现代的官方交易商和服务网络上，安装时间不到1小时。符合要求的车主将收到公司的单独通知。现代解释称，软件更新将在车主通过实体钥匙锁门时，修改“转动钥匙启动”的逻辑防止车辆点火启动。升级后，只有在钥匙用于打开车门时才会启动点火。

现代也将为客户提供窗户便贴，提醒盗贼车辆软件已更新，来消除社交媒体所推广的hack活动。对于因没有引擎防盗系统而无法接受软件升级的车型，现代将覆盖拐杖锁的成本。

起亚也表示很快将推出软件升级，但并未公布具体日期或其它详情。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

如何远程解锁并启动现代和捷尼赛思汽车？

黑客可通过Rolling-PWN 攻击，远程解锁本田汽车

利用中继攻击解锁并开走汽车，本田不打算修复（含视频）

丰田汽车顶级供应商 Denso 疑遭勒索攻击，被威胁泄露商业机密

因供应商遭不明网络攻击，丰田汽车宣布停产

原文链接

https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/#comments

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~