圖片來源: 

Computest

荷蘭Computest的兩名資安研究人員Daan Keuper與Thijs Alkemade日前公布了一項研究報告,指出福斯汽車(Volkswagen)旗下的Golf GTE與Audi A3 Sportback e-tron所使用的車載資訊系統(In-Vehicle Infotainment,IVI)含有安全漏洞,將允許駭客取得車上喇叭、麥克風,甚至是導航系統的控制權。

這兩款車都是Computest員工自己的座車,皆於2015年出廠,也都使用了三星旗下Harman所開發的模組化車載資訊平台(Modular Infotainment Platform,MIP),Computest在數月前已向福斯通報相關漏洞,並已獲得修補。

根據研究人員的分析,駭客可以利用遠端或USB方式取得IVI系統的管理權限,因而得以控制車上的喇叭、麥克風與導航系統,可竊聽駕駛人的談話,存取通訊錄或談話紀錄,還能知道駕駛人所去過的地方或是追蹤駕駛人的所在位置。

Keuper則說,連網能力為現代化汽車的熱門功能,但最大的問題在於這些深植於系統上的系統可能已經問世許多年,且鮮少被更新,若以一輛車18年的平均年限來看,駭客有好幾年的開採機會。

上述漏洞聽起來似乎不嚴重,最多只是侵犯了駕駛人的隱私,然而,Computest創辦人Hartger Ruijs表示,研究人員所存取的IVI系統可間接連結到車上控制系統,例如煞車或加速系統,只是他們沒有繼續深究。

Ruijs指出,若他們測試這些重要功能的安全漏洞,很可能是違法且侵犯了智慧財產權,他認為一個正當的駭客應該維持合理原則。


Advertisement

更多 iThome相關內容