粉絲團
資安人員警示:汽車 App 有漏洞!駭客可遠端啟動汽車
以往使用車鑰匙來解鎖上鎖車輛,現在汽車進化到可以支援手機 App,不只解鎖上鎖,甚至可以提前開啟空調、啟動等功能。但卻也讓駭客找到 App 漏洞進而攻擊,讓車輛被駭客遠端啟動上述功能,增加駕駛與乘客危險。
支援聯網的汽車與 App 結合,提升便利性,但也讓駭客有機可趁。(圖片來源:Mercedes-Benz)
《bleepingcomputer.com》報導,研究人員發現 Hyundai 的兩個 App,分別為 MyHyundai 和 MyGenesis 進行分析,發現註冊無需 Email 確認,因此他們透過一些撇步,繞過了 App 的檢查,解果不但驗證可行,甚至他們還成功的解鎖與啟動了車輛。
研究人員繞過 Hyundai App 檢查,成功遠端解鎖車輛。(圖片來源:擷取自 bleepingcomputer)
Yuga Lab 的研究人員也發現,Hyundai 與其他車廠像是 Toyota、Honda、Nissan、Infinity、BMW、Lexus、Land Rover、FCA 等,都是使用 SiriusXM 這個智慧汽車平台,這家供應商號稱營運超過 1200 萬輛聯網汽車,並使用超過 50 種服務。
We sent the HTTP request using our CRLF-appended victim account to attempt to remotely unlock the vehicle connected to the victim's email address. The service took a few seconds, then finally returned "200 OK".@_specters_ confirmed that his car had unlocked!
— Sam Curry (@samwcyo) November 29, 2022
每一輛車都有一組車輛識別號 (VIN),通常會出現在儀表板與擋風玻璃相接的位置旁,取得容易的情況下,研究人員檢查了 Nissan App,在只要有車輛識別號的情況,就能輕鬆進入,除了可以看到車主資訊,還可以對汽車執行各種動作。
《bleepingcomputer.com》在聯繫 Hyundai 與 SiriusXM 之後,Hyundai 表示會與第三方顧問一起調查漏洞來源。
SiriusXM 也回應表示,此狀況已在提交後的 24 小時內得到解決,未來會繼續重視客戶帳號的安全,並繼續進行漏洞賞金計畫。
成為粉絲,看更多汽車情報->《自由時報汽車頻道粉絲團》