Hyundai App 的錯誤，可導致駭侵者遠端開啟車門並發動車輛

資安廠商 Yuga Labs 旗下的研究人員，近期發現現代汽車（Hyundai）官方 App 中的漏洞，可導致駭侵者遠端開啟車門並發動車輛；此外，多家車廠使用的車輛管理系統 SiriusXM 也含有類似漏洞。

在 Hyundai 官方 App 漏洞方面，研究人員攔截 Hyundai 與 Hyundai 擁有的高級車品牌 Genesis 其官方 App MyHundai 與 MyGenesis 的網路封包內容後，可以找出其 API 呼叫方式；研究人員發現該 API 呼叫係以包括在 JSON 與 POST request 中的用呼 Email 地址來進行，而註冊使用 MyHyundai 與 MyGenesis，並不需要經過 Email 帳號驗證，因此研究人員可使用受害者的 email 位址，在後方加一個控制字元，即可註冊使用 myHyundai 來傳送指令，開啟並發動受害者的車輛。

在 SiriusXM 漏洞方面，SiriusXM 是個廣受各國大型車廠採用的車輛遙控管理平台，包括Acura、BMW、Honda、Hyundai、Infinity、Jaguar、Land Rover、Lexus、Nissan、Subaru、Toyota 等車廠在內。

Yuga Labs 在分析 Nissan App 的流量後，發現可以透過特製的 HTTP 連線要求，加上車輛的唯一代碼 VIN (Vehicle Identification Number）來遠端控制車輛，甚至從 SiriusXM 網站取得車主各項個資，包括姓名、電話、地址、帳單資訊等。

由於車輛的 VIN 往往就印在前擋風玻璃內側，自車外可輕易見到，在各大二手車銷售網站也可取得，因此造成車主與車輛極大的風險。

若用戶的車輛可經由 App 控制，且 VIN 碼可自擋風玻璃外部識別，建議先設法遮蔽 VIN 碼，或要求車廠提供車輛 App 更新，以解決此問題。

本文轉載自TWCERT/CC。