根據網路安全公司Trend Micro(趨勢科技)的Zero Day Initiative研究人員的調查,數千輛Mazda(馬自達)汽車的Connect資訊娛樂系統存在安全漏洞,容易成為駭客攻擊的目標。這些安全隱患影響範圍包括美國、歐洲等地的2014-2021年款Mazda 3車型,可能讓攻擊者藉由系統的弱點對車輛進行不當操作,甚至影響部分安全系統。
美國政府目前正考慮全面禁止中國製汽車進口,原因是擔心這些車輛可能會被遠端控制,帶來安全威脅。然而,這次由Trend Micro專家團隊所發現的問題顯示,這類風險不僅存在於中國製造的車輛,Mazda車主也可能面臨類似的網路安全威脅。
Trend Micro指出,雖然Mazda車輛並不具備自駕能力,因此不至於因為被駭而失控。但該報告的作者Dmitry Janushkevich表示,駭客仍可利用車內USB端植入惡意程式碼,進而干擾車輛的某些安全功能。換言之,這類攻擊並非透過OTA(無線更新)進行,而是需要透過車內的實體USB端操作。
這意味著,如果車主習慣於酒店、餐廳或機場等地使用代客泊車服務,或將車輛交給他人清洗或維修,車輛可能會在不知情的情況下被植入惡意軟體。Trend Micro警告,若攻擊者成功利用USB插孔入侵,不僅可能使車輛無法正常運作,也有機會感染後續連接的乘客裝置。此外,儘管Trend Micro尚未深入測試具體安全功能可能遭受的影響,但他們認為一些關鍵安全系統存在被控制的風險。
目前,Mazda尚未針對這些漏洞進行補救,專家建議車主在補救軟體推出前,避免將不明來源的USB裝置插入車內USB使用資訊娛樂系統,並盡量減少第三方對車輛的操作。若車主希望了解詳細的技術分析,可以參閱Trend Micro的原始報告。
值得注意的是,今年夏季已有數款車型因不符合歐盟的新網路安全標準而在歐洲市場下架,其中包括Porsche(保時捷)718 Boxster、Cayman以及Fiat(飛雅特)500內燃機版本。這些案例突顯了汽車網路安全的重要性,車廠未來在開發新車時,可能需要更加注意資訊系統的安全性,以確保車主的安全和隱私不受侵害。
[Source:Trend Micro Zero Day Initiative]