按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Toyota、Mercedes-Benz、BMW 等多家大車廠修復嚴重 API 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-01-07
  • 點閱次數:1783
Toyota、Mercedes-Benz、BMW 等多家大車廠修復嚴重 API 漏洞 TWCERT/CC

包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API,遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資,甚至造成車輛遭挾持的漏洞;這個漏洞在近期已獲修復。

據 Sam Curry 團隊發表的研究報告指出,這些汽車製造與服務大廠的 API 資安漏洞,可能造成駭侵者進行各種攻擊活動,包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。

報告指出,有此問題的車廠品牌多達近 20 家,包括 BMW、Rolls-Royce、Mercedes-Benz、Ferrari、Porsche、Jaguar、Land Rover、Ford、KIA、Honda、Infiniti、Nissan、Acura、Hyundai、Toyota、Genesis。

此外,多家汽車零組件與服務廠如 Spireon、Reviver 與串流服務 SiriusXM 的 API 也含有該漏洞。

以狀況最嚴重的 Mercedes-Benz 來說,該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組,並且連上用戶的車輛。而在 BMW 方面,研究人員也能透過該 API 存取經銷商專用內網入口,查詢任何車輛的序號(VIN)、並且存取內部專用的各種應用程式。

目前各大廠均已修復報告中提到的漏洞,不過用戶仍需提高警覺。

建議車主應盡量減少登錄在車廠或 App 中的個資,使用強式密碼,並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證,以強化資安防護。

回頁首