一项新调查发现,福特(Ford)和福斯(Volkswagen)生产的汽车有「重大」安全漏洞,可能会使车主个资遭窃,甚至有危及生命安全的可能风险。
根据英国消费者权益组织旗下《Which?》杂誌测试报导,指出他们在福特 Focus 和福斯 Polo 两款畅销车款发现安全漏洞,两车款皆配备如网路媒体系统的连网技术。《Which?》警告,这些安全漏洞会使汽车暴露在恶意骇客的攻击之下,骇客会藉此窃取资料,抑或发送误导性资讯至汽车管理系统。《Which?》还指责车商在安全方面太「粗心大意」,对车载技术没有任何有意义的监管机制。
白帽骇客能入侵 Polo 资讯娱乐单元,并拦截 Focus 胎压监测系统资讯
《Which?》与网路安全谘询公司 Context Information Security 的网路安全专家团队合作,检测汽车连网技术系统背后的电脑系统。他们发现可透过一组关闭循迹控制系统(Tranction Control System,TCS)的命令,入侵 Polo 的资讯娱乐单元,存取包括手机连络人与位置历史纪录等个资。他们还发现,只要简单将汽车前头「VW」标誌掰开,就能存取雷达模组,这可能使骇客得以篡改汽车的防撞侦测安全系统。
《Which?》旗下白帽骇客在福特汽车发现,透过一台笔电和从亚马逊购得的 25 件小工具,就可以拦截胎压监测系统(Tyre Pressure Monitoring System,TPMS)资讯,能骗过汽车的显示萤幕,轮胎明明还有气却显示轮胎没气,反之亦然,此举可能会使驾驶安全受威胁。
儘管 Focus 在欧洲製造,但透过入侵 Focus 的控制器区域网路(Controller Area Network,CAN;亦即汽车的中央「大脑」),也能找到似乎是福特底特律工厂电脑系统的 Wi-Fi 细节与密码。他们也获得有关使用者驾驶习惯和位置历史纪录的详细资讯。
福斯反驳:《Which?》的破解实际情况有很高难度及门槛
「如今大多数汽车都装有功能强大的电脑系统,但显然这些系统都缺乏完善安全监管机制,意味着能轻易受骇客攻击,进而将驾驶的安全和个资置于危险之中。」《Which?》杂誌编辑 Lisa Barber 表示:「政府应该致力确保汽车设计内建适当的安全机制,终结製造商在技术安全方面的重大漏洞评分系统。」
福特表示,胎压监控技术并非福特独有,且攻击只能透过「容易看到的辅助天线」办到。福特补充,这些个资是在汽车所有人同意的情况下储存,并拒绝进一步评论。
福斯汽车告诉《Which?》,此破解的资讯娱乐系统位于「汽车单独区域,不可能在不被察觉的情况下对其他关键控制单元造成影响」,并补充测试发现的都没有「对驾驶或乘客构成任何直接危险」。福斯又指《Which?》许多攻击情境需要「耗费很大的心力」骇进车载系统才能办到。
- Ford and VW cars exposed to hackers after ‘serious’ security flaws
