轉載「Toyota、Mercedes-Benz、BMW 等多家大車廠修復嚴重 API 漏洞」訊息

 【軟體系統資安議題】

🚗🚗🚗Toyota、Mercedes-Benz、BMW 等多家大車廠修復嚴重 API 漏洞🔧🔧🔧

包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API，遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資，甚至造成車輛遭挾持的漏洞；這個漏洞在近期已獲修復。

據 Sam Curry 團隊發表的研究報告指出，這些汽車製造與服務大廠的 API 資安漏洞，可能造成駭侵者進行各種攻擊活動，包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。

以狀況最嚴重的 Mercedes-Benz 來說，該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組，並且連上用戶的車輛。而在 BMW 方面，研究人員也能透過該 API 存取經銷商專用內網入口，查詢任何車輛的序號（VIN）、並且存取內部專用的各種應用程式。

建議車主應盡量減少登錄在車廠或 App 中的個資，使用強式密碼，並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證，以強化資安防護。

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-6848-34a54-1.html