[新聞] Lexus部份車款系統漏洞可能讓駭客注入惡意指令

看板car作者Scape (缺鈣缺很大)時間4年前 (2020/04/02 09:46)推噓12(14推 2噓 8→)

留言24則, 21人參與討論串1/1

原文連結： https://www.ithome.com.tw/news/136699 原文內容： Lexus部份車款系統漏洞可能讓駭客注入惡意指令安全研究人員發現，日本汽車大廠豐田旗下Lexus部份車款（NX、LS、ES系統）的影音導航系統（Audio, Visual and Navigation，AVN）有安全問題，可能遭駭注入惡意指令，成功操控車上某些設備。首先揭露漏洞的騰訊旗下的Keen Security實驗室指出，漏洞其實不是在AVN上，而是在 Lexus NX系列的藍牙和車輛診斷功能，但這些功能上的多個安全漏洞可能影響車上AVN系統、控制器區域網路（Controller Area Network，CAN）及相關電子控制單位（ Electronic Control Unit，ECU）。2017年開始Lexus為旗下車系導入AVN。除了NX外，LS 、ES系列也內建同樣的AVN系統。騰訊Keen Labs研究人員並未說明漏洞，只表示串聯起這些漏洞後，得以在不需使用者動作情況下，遠端成功接管實驗的一臺NX 300的AVN單元，並向CAN網路注入惡意CAN訊息，造成「某些實際行為」。豐田也證實這項消息。豐田指出，某些Toyota及Lexus的多媒體系統的藍牙功能漏洞被開採後，其「特定車輛功能可能發生運作」。但豐田指出，攻擊行為並不會影響方向盤、煞車或油門。此外，豐田也指出，開採這些漏洞需要對多媒體系統特別了解，而且駭客需要待在車子附近一段時間才能發動攻擊。因此該公司認為此類攻擊難度相當高，不太可能在現實生活中發生。豐田已經針對產線上的車輛修補該漏洞。至於已出售的車子，車主可以下載更新版韌體。該公司預定2021年適當時間發布完整技術報告。隨著汽車成為物聯網的一部份，加裝各種連網系統，連帶增加駭客攻擊面。多項研究發現，包括車載資訊系統（In-Vehicle Instrument，IVI）、防盜系統都可能遭駭，而發生資訊外洩甚至車輛被控制的災難。本月比利時及英國研究人員才揭露，許多汽車的防盜系統含有安全漏洞，可能讓駭客得以解除防盜，影響豐田（Toyota）、現代及Kia等品牌車款。心得/說明：(30字以上) 去找了一下來源，看到了這張圖： https://i.imgur.com/M0ScyRj.png

簡單來說就是攻擊手段不需要跟車輛有實體接觸透過無線網路(藍芽/wifi) 入侵就能操縱車上的ECU 來控制車輛執行物理動作沒提供技術細節以防止有心人做真正的惡意攻擊不過已經是被證實是有效的攻擊方式 Lexus 說可以更新軟體來解決，看來勢必又有一波召回了 NX、LS、ES 車系全中，影響範圍蠻大的來源： https://bit.ly/343w0tA -- https://i.imgur.com/RD9eNLu.jpg