汽車的CAN協定遭爆安全漏洞，可讓駭客關閉安全氣囊或感應器

趨勢科技於本月揭露，受到汽車製造商重用的控制器區域網路（Controller Area Network，CAN）協定含有一安全漏洞，可帶來阻斷服務攻擊（DoS），而使車上的安全氣囊或停車感應器失效。

在1986年正式發表的CAN協定規範了包括停車感應器、安全氣囊、主動安全系統、防煞車鎖死系統與車載系統之間的通訊與互動標準。不過，最近趨勢科技發現了該協定的設計含有一個安全漏洞，將允許駭客切斷基於CAN的系統功能，幸好駭客必需實際接觸車輛才可能實現攻擊。

美國國土安全部旗下的工業控制系統緊急應變小組（ICS-CERT）已提前取得了該研究報告並於7月提出警告。根據ICS-CERT的說法，CAN協定不只應用在汽車產業，也被廣泛應用在關鍵製造商、健康照護產業與交通系統。

由於該漏洞屬於CAN協定的設計漏洞，因此現階段只能紓緩而無法完全或立即被修補。其攻擊可能性則視CAN被部署的方式與OBD-II傳輸埠遭存取的難易度而定，例如ICS-CERT便建議汽車製造商應限制OBD-II的存取能力。

然而，趨勢科技警告，就算該漏洞必須要可實際碰觸汽車才能被開採，但這仍然是個可能危及生命安全的嚴重漏洞，而且，在共乘或汽車租賃成為主流之後，將讓許多人得以接觸同一部車，進一步擴大了該漏洞的安全風險。

趨勢科技展示影片：