圖片來源: 

SiriusXM

參與多項漏洞獎勵計畫的白帽駭客Sam Curry本周揭露,該團隊可自遠端解鎖、啟動、定位或存取Honda、Nissan、Infiniti與Acura等眾多品牌的汽車,只因為它們都使用了同樣的衛星廣播服務SiriusXM,且該服務暗藏了一個身分認證漏洞。

Curry說明,他們先是在不同的汽車上的車載資訊系統(Telematics)發現允許遠端存取的安全漏洞,進而好奇車載資訊系統供應商的身分,卻發現兇手是美國知名的衛星廣播服務SiriusXM。

Sirius XM為美國的數位及衛星廣播服務供應商,提供各種與聲音有關的數位娛樂,不管是音樂、運動、談話節目或播客等,號稱是北美最大的數位音訊供應商,其SiriusXM服務安裝在美國所有主要汽車品牌的新車上,就算是中古車也有接近一半內建了SiriusXM。

而Curry則發現,SiriusXM所支援的車款涵蓋了Acura、BMW、Honda、Hyundai、Infiniti、Jaguar、Land Rover、Lexus、Nissan、Subaru與Toyota。

研究顯示,SiriusXM系統含有一個身分認證漏洞,由於SiriusXM被整合在不同品牌的車載資訊系統上,於是便可藉由該漏洞挾持車載資訊系統,只要知道汽車的識別碼(VIN),就能存取汽車與車主資訊、遠端解鎖及啟動汽車、定位汽車或閃燈等。

《Gizmodo》向Sirius XM求證之後,Sirius XM坦承該漏洞的存在,並說已在收到Curry的漏洞報告之後的24小時內便完成修補。

熱門新聞

Advertisement