近期在为Acura，宝马，法拉利，福特，Genesis，本田，现代，英菲尼迪，捷豹，起亚，路虎，梅赛德斯 – 奔驰，日产，保时捷，劳斯莱斯，丰田以及Reviver，SiriusXM和Spireon的软件提供动力的汽车 API 中发现了安全漏洞。该影响来自 16 家不同制造商的数百万辆汽车的多个错误，可能被滥用来解锁、启动和跟踪汽车，并影响车主的隐私。

这些漏洞的范围很广，从可以访问公司内部系统和用户信息的漏洞到允许攻击者远程发送命令以实现代码执行的漏洞。

这项研究建立在去年年底的早期发现之上，当时Yuga Labs研究员Sam Curry等人详细介绍了SiriusXM提供的联网车辆服务中的安全漏洞，这可能会使汽车面临远程攻击的风险。

最严重的问题涉及Spireon的远程信息处理解决方案，可以利用它获得完全的管理访问权限，使攻击者能够向大约1550万辆汽车发出任意命令并更新设备固件。

“奔驰”中发现的漏洞可以通过配置不当的单点登录身份验证方案授予对内部应用程序的访问权限，而其他漏洞可能允许用户帐户接管和披露敏感信息。

其他漏洞有极大可能使得访问或修改客户记录、内部经销商门户、实时跟踪车辆GPS位置，管理所有客户的车牌数据，甚至将车辆状态更新为“被盗”。

虽然所有安全漏洞都已由各自的制造商在披露后修复，但调查结果强调了纵深防御策略的必要性，以遏制威胁并降低风险。

研究人员指出，“如果攻击者能够在车辆远程信息处理系统使用的 API 端点中找到漏洞，他们就可以完全远程地按喇叭，闪烁灯光，远程跟踪，锁定/解锁和启动/停止车辆。“