駭客遠程控制用戶汽車   Sirius XM出現安全漏洞

除了提供衛星廣播訂閱外，美國廣播公司天狼星衛星廣播（Sirius XM）還提供許多汽車製造商車載資通訊系統和資訊娛樂系統服務，包括BMW、本田、Infiniti、Jaguar、Land Rover、Lexus、日產、Subaru和豐田等。這些系統收集了大量關於用戶車輛的資訊，然而人們似乎忽視了其可能帶來的潛在隱私影響。

根據《The Verge》的報導，Yuga Labs 的安全工程師 Sam Curry 與一組安全研究人員合作，發現了在Sirius XM提供的互聯汽車系統中有一個漏洞，而這可能將讓駭客可以遠端操控用戶的車，進行車輛解鎖、定位、打開閃光燈或是按喇叭等動作。

據報導，車載資通訊系統可以取得有關用戶汽車的 GPS 位置、速度、Turn-by-turn導航和進行維護需要的數據；而資訊娛樂系統則可能會追蹤通話記錄、語音命令、簡訊等資訊。就是這些數據讓車輛可以提供智慧型功能，如車禍偵測、遠程引擎啟動、車輛防盜警報、導航以及遠端上鎖或解鎖汽車等。而Sirius XM 則負責提供所有這些以及更多功能，並表示路上有超過 1200 萬輛汽車正在使用其互聯汽車系統。

然而，Curry 表示，Sirius XM以圍繞發送和接收此數據作為其系統架構的基礎，用戶只要透過登入與用戶車輛識別號碼（VIN碼）連動的App，就可以執行命令和取得有關車輛的資訊。但正是這個系統讓有心人士可以駭入用戶的汽車。他說，Sirius XM 使用與個人帳號關聯的 VIN 碼在應用程式與其服務器之間傳遞資訊和命令。並透過創建一個 HTTP 請求來獲取和VIN碼綁定的用戶個人資料，Curry 說，他不但能夠獲得車主的姓名、電話號碼、地址和汽車詳細資訊，還能遠端控制車輛。

好消息是，在Curry向 Sirius XM 報告了這個漏洞以後，他們很快就進行了修復。公司發言人 Lynnsey Ross 表示，該漏洞「在報告提交後 24 小時內得到解決」，並補充說「到目前為止，都沒有任何訂閱者或其他數據受到損害，這種方法也沒有被用來修改任何未經授權的帳戶資訊」。（編譯 / 莊閔棻）

參考資料： The Verge

瀏覽 591 次