資安人員警示:汽車 App 有漏洞!駭客可遠端啟動汽車
【文/記者陳英傑】
以往使用車鑰匙來解鎖上鎖車輛,現在汽車進化到可以支援手機 App,不只解鎖上鎖,甚至可以提前開啟空調、啟動等功能。但卻也讓駭客找到 App 漏洞進而攻擊,讓車輛被駭客遠端啟動上述功能,增加駕駛與乘客危險。
▲支援聯網的汽車與 App 結合,提升便利性,但也讓駭客有機可趁。(圖片來源:Mercedes-Benz)
《bleepingcomputer.com》報導,研究人員發現 Hyundai 的兩個 App,分別為 MyHyundai 和 MyGenesis 進行分析,發現註冊無需 Email 確認,因此他們透過一些撇步,繞過了 App 的檢查,解果不但驗證可行,甚至他們還成功的解鎖與啟動了車輛。
▲研究人員繞過 Hyundai App 檢查,成功遠端解鎖車輛。(圖片來源:擷取自 bleepingcomputer)
Yuga Lab 的研究人員也發現,Hyundai 與其他車廠像是 Toyota、Honda、Nissan、Infinity、BMW、Lexus、Land Rover、FCA 等,都是使用 SiriusXM 這個智慧汽車平台,這家供應商號稱營運超過 1200 萬輛聯網汽車,並使用超過 50 種服務。
We sent the HTTP request using our CRLF-appended victim account to attempt to remotely unlock the vehicle connected to the victim's email address. The service took a few seconds, then finally returned "200 OK".@_specters_ confirmed that his car had unlocked!
— Sam Curry (@samwcyo) November 29, 2022
每一輛車都有一組車輛識別號 (VIN),通常會出現在儀表板與擋風玻璃相接的位置旁,取得容易的情況下,研究人員檢查了 Nissan App,在只要有車輛識別號的情況,就能輕鬆進入,除了可以看到車主資訊,還可以對汽車執行各種動作。
《bleepingcomputer.com》在聯繫 Hyundai 與 SiriusXM 之後,Hyundai 表示會與第三方顧問一起調查漏洞來源。
SiriusXM 也回應表示,此狀況已在提交後的 24 小時內得到解決,未來會繼續重視客戶帳號的安全,並繼續進行漏洞賞金計畫。
成為粉絲,看更多汽車情報->《自由時報汽車頻道粉絲團》
👉 住家、公司離車位、車站太遠?精選GIANT捷安特折疊自行車,輕鬆解決日常通勤最尷尬的一公里!
👉 最新上架汽車車款:https://autos.yahoo.com.tw/latest-cars
👉 最新上架機車車款:https://autos.yahoo.com.tw/latest-bikes
👉 更多汽車試駕:https://autos.yahoo.com.tw/car-topics/testdrive
👉 熱門中古車排行(預算60萬以上):https://autos.yahoo.com.tw/popular-used-cars?price_range=60
👉 搜尋更多新車規格:https://autos.yahoo.com.tw/new-cars/
👉 更多熱門新車排行:https://autos.yahoo.com.tw/popular-cars/
👉 更多電動車與油電車:https://autos.yahoo.com.tw/car-topics/EV-and-Hybrid
29
23
28
29
28
28
28
29
28
29
28
28
25
26
18
27
24
27
26
26