• 發布單位:TWCERT/CC
• 更新日期:2023-01-07
• 點閱次數:6238

包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API，遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資，甚至造成車輛遭挾持的漏洞；這個漏洞在近期已獲修復。

據 Sam Curry 團隊發表的研究報告指出，這些汽車製造與服務大廠的 API 資安漏洞，可能造成駭侵者進行各種攻擊活動，包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。

報告指出，有此問題的車廠品牌多達近 20 家，包括 BMW、Rolls-Royce、Mercedes-Benz、Ferrari、Porsche、Jaguar、Land Rover、Ford、KIA、Honda、Infiniti、Nissan、Acura、Hyundai、Toyota、Genesis。

此外，多家汽車零組件與服務廠如 Spireon、Reviver 與串流服務 SiriusXM 的 API 也含有該漏洞。

以狀況最嚴重的 Mercedes-Benz 來說，該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組，並且連上用戶的車輛。而在 BMW 方面，研究人員也能透過該 API 存取經銷商專用內網入口，查詢任何車輛的序號（VIN）、並且存取內部專用的各種應用程式。

目前各大廠均已修復報告中提到的漏洞，不過用戶仍需提高警覺。

建議車主應盡量減少登錄在車廠或 App 中的個資，使用強式密碼，並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證，以強化資安防護。