https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

Hyundai App 的錯誤,可導致駭侵者遠端開啟車門並發動車輛

2022 / 12 / 05
編輯部
Hyundai App 的錯誤,可導致駭侵者遠端開啟車門並發動車輛
資安廠商 Yuga Labs 旗下的研究人員,近期發現現代汽車(Hyundai)官方 App 中的漏洞,可導致駭侵者遠端開啟車門並發動車輛;此外,多家車廠使用的車輛管理系統 SiriusXM 也含有類似漏洞。

在 Hyundai 官方 App 漏洞方面,研究人員攔截 Hyundai 與 Hyundai 擁有的高級車品牌 Genesis 其官方 App MyHundai 與 MyGenesis 的網路封包內容後,可以找出其 API 呼叫方式;研究人員發現該 API 呼叫係以包括在 JSON 與 POST request 中的用呼 Email 地址來進行,而註冊使用 MyHyundai 與 MyGenesis,並不需要經過 Email 帳號驗證,因此研究人員可使用受害者的 email 位址,在後方加一個控制字元,即可註冊使用 myHyundai 來傳送指令,開啟並發動受害者的車輛。

在 SiriusXM 漏洞方面,SiriusXM 是個廣受各國大型車廠採用的車輛遙控管理平台,包括Acura、BMW、Honda、Hyundai、Infinity、Jaguar、Land Rover、Lexus、Nissan、Subaru、Toyota 等車廠在內。

Yuga Labs 在分析 Nissan App 的流量後,發現可以透過特製的 HTTP 連線要求,加上車輛的唯一代碼 VIN (Vehicle Identification Number)來遠端控制車輛,甚至從 SiriusXM 網站取得車主各項個資,包括姓名、電話、地址、帳單資訊等。

由於車輛的 VIN 往往就印在前擋風玻璃內側,自車外可輕易見到,在各大二手車銷售網站也可取得,因此造成車主與車輛極大的風險。

若用戶的車輛可經由 App 控制,且 VIN 碼可自擋風玻璃外部識別,建議先設法遮蔽 VIN 碼,或要求車廠提供車輛 App 更新,以解決此問題。

本文轉載自TWCERT/CC。