包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API,遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資,甚至造成車輛遭挾持的漏洞;這個漏洞在近期已獲修復。
據 Sam Curry 團隊發表的研究報告指出,這些汽車製造與服務大廠的 API 資安漏洞,可能造成駭侵者進行各種攻擊活動,包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。
報告指出,有此問題的車廠品牌多達近 20 家,包括 BMW、Rolls-Royce、Mercedes-Benz、Ferrari、Porsche、Jaguar、Land Rover、Ford、KIA、Honda、Infiniti、Nissan、Acura、Hyundai、Toyota、Genesis。
此外,多家汽車零組件與服務廠如 Spireon、Reviver 與串流服務 SiriusXM 的 API 也含有該漏洞。
以狀況最嚴重的 Mercedes-Benz 來說,該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組,並且連上用戶的車輛。而在 BMW 方面,研究人員也能透過該 API 存取經銷商專用內網入口,查詢任何車輛的序號(VIN)、並且存取內部專用的各種應用程式。
目前各大廠均已修復報告中提到的漏洞,不過用戶仍需提高警覺。
建議車主應盡量減少登錄在車廠或 App 中的個資,使用強式密碼,並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證,以強化資安防護。
- 參考連結
Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More
https://samcurry.net/web-hackers-vs-the-auto-industry/
Toyota, Mercedes, BMW API flaws exposed owners’ personal info
Ferrari, BMW, Rolls Royce, Porsche and more fix vulnerabilities giving car takeover capabilities
留言列表
資安宣導 (2)
