Lexus部份車款系統漏洞可能讓駭客注入惡意指令

安全研究人員發現，日本汽車大廠豐田旗下Lexus部份車款（NX、LS、ES系統）的影音導航系統（Audio, Visual and Navigation，AVN）有安全問題，可能遭駭注入惡意指令，成功操控車上某些設備。

首先揭露漏洞的騰訊旗下的Keen Security實驗室指出，漏洞其實不是在AVN上，而是在Lexus NX系列的藍牙和車輛診斷功能，但這些功能上的多個安全漏洞可能影響車上AVN系統、控制器區域網路（Controller Area Network，CAN）及相關電子控制單位（Electronic Control Unit，ECU）。2017年開始Lexus為旗下車系導入AVN。除了NX外，LS、ES系列也內建同樣的AVN系統。

騰訊Keen Labs研究人員並未說明漏洞，只表示串聯起這些漏洞後，得以在不需使用者動作情況下，遠端成功接管實驗的一臺NX 300的AVN單元，並向CAN網路注入惡意CAN訊息，造成「某些實際行為」。

豐田也證實這項消息。豐田指出，某些Toyota及Lexus的多媒體系統的藍牙功能漏洞被開採後，其「特定車輛功能可能發生運作」。但豐田指出，攻擊行為並不會影響方向盤、煞車或油門。

此外，豐田也指出，開採這些漏洞需要對多媒體系統特別了解，而且駭客需要待在車子附近一段時間才能發動攻擊。因此該公司認為此類攻擊難度相當高，不太可能在現實生活中發生。

豐田已經針對產線上的車輛修補該漏洞。至於已出售的車子，車主可以下載更新版韌體。該公司預定2021年適當時間發布完整技術報告。

隨著汽車成為物聯網的一部份，加裝各種連網系統，連帶增加駭客攻擊面。多項研究發現，包括車載資訊系統（In-Vehicle Instrument，IVI）、防盜系統都可能遭駭，而發生資訊外洩甚至車輛被控制的災難。本月比利時及英國研究人員才揭露，許多汽車的防盜系統含有安全漏洞，可能讓駭客得以解除防盜，影響豐田（Toyota）、現代及Kia等品牌車款。