主要观点：2024 年 6 月 11 日发现起亚车辆的一组漏洞，仅通过车牌可远程控制关键功能，包括获取个人信息并添加自己为隐形第二用户，已构建工具演示其影响，漏洞已修复且工具未发布，未被恶意利用。
关键信息：

• 受影响车辆涵盖众多起亚车型，包括 2023 - 2025 年款的各种车型。
• 发现漏洞的过程，从“owners.kia.com”网站和 Kia Connect iOS 应用开始，后关注起亚经销商网站。
• 利用注册为经销商、生成访问令牌等步骤实现对车辆的控制，包括获取车主信息和执行命令。
• 构建了证明概念的仪表盘，可通过输入车牌获取车主信息并执行车辆命令。
  重要细节：
• 漏洞可在约 30 秒内远程执行于任何配备硬件的起亚车辆，无论是否有 Kia Connect 订阅。
• 展示攻击流程的视频，包括通过手机接管车辆并远程执行锁/解锁、启动/停止、鸣笛和定位等命令。
• 详细记录了与起亚团队的沟通时间线，从报告漏洞到确认修复及测试。