駭客遠程控制用戶汽車 Sirius XM出現安全漏洞
除了提供衛星廣播訂閱外,美國廣播公司天狼星衛星廣播(Sirius XM)還提供許多汽車製造商車載資通訊系統和資訊娛樂系統服務,包括BMW、本田、Infiniti、Jaguar、Land Rover、Lexus、日產、Subaru和豐田等。這些系統收集了大量關於用戶車輛的資訊,然而人們似乎忽視了其可能帶來的潛在隱私影響。
根據《The Verge》的報導,Yuga Labs 的安全工程師 Sam Curry 與一組安全研究人員合作,發現了在Sirius XM提供的互聯汽車系統中有一個漏洞,而這可能將讓駭客可以遠端操控用戶的車,進行車輛解鎖、定位、打開閃光燈或是按喇叭等動作。
據報導,車載資通訊系統可以取得有關用戶汽車的 GPS 位置、速度、Turn-by-turn導航和進行維護需要的數據;而資訊娛樂系統則可能會追蹤通話記錄、語音命令、簡訊等資訊。就是這些數據讓車輛可以提供智慧型功能,如車禍偵測、遠程引擎啟動、車輛防盜警報、導航以及遠端上鎖或解鎖汽車等。而Sirius XM 則負責提供所有這些以及更多功能,並表示路上有超過 1200 萬輛汽車正在使用其互聯汽車系統。
然而,Curry 表示,Sirius XM以圍繞發送和接收此數據作為其系統架構的基礎,用戶只要透過登入與用戶車輛識別號碼(VIN碼)連動的App,就可以執行命令和取得有關車輛的資訊。但正是這個系統讓有心人士可以駭入用戶的汽車。他說,Sirius XM 使用與個人帳號關聯的 VIN 碼在應用程式與其服務器之間傳遞資訊和命令。並透過創建一個 HTTP 請求來獲取和VIN碼綁定的用戶個人資料,Curry 說,他不但能夠獲得車主的姓名、電話號碼、地址和汽車詳細資訊,還能遠端控制車輛。
好消息是,在Curry向 Sirius XM 報告了這個漏洞以後,他們很快就進行了修復。公司發言人 Lynnsey Ross 表示,該漏洞「在報告提交後 24 小時內得到解決」,並補充說「到目前為止,都沒有任何訂閱者或其他數據受到損害,這種方法也沒有被用來修改任何未經授權的帳戶資訊」。(編譯 / 莊閔棻)
參考資料: The Verge
瀏覽 683 次