Gogoro 三大資安風險揭密，小心所有物聯網產品

專門研究物聯網裝置的研究團隊在 2016 年 4 月時發現 gogoro 的 3 個安全漏洞，回報到 hitcon zeroday 平台，平台則通報 gogoro 有安全風險，隨後 gogoro 已陸續修復。

戴辰宇強調，「gogoro 車子本身的安全機制沒有問題，但手機是很不可靠的東西，比晶元鑰匙還不安全，所以需要更慎重設計機制，來保護軟體的通訊安全!」

偷走金鑰之後，怎麼找得到車子呢?由於 gogoro 的功能會記錄上次停車的位置，所以黑客找到你的 gogoro 之後，並在另一支手機重現金鑰，就能發動車子，把電動電單車騎走;或者，黑客只要在你的手機中植入有 gps 地圖的惡意程式，也能知道你的位置。

在研究團隊回報這個漏洞之後，gogoro 已在 4 月修復這個問題，目前也沒有 gogoro 被偷的情況發生。

弱點 3：每一次重新配對不會換新的金鑰

gogoro 目前的設計是只要手機和車子一配對之後，會產生一組永久的金鑰，如果手機不見，或是gogoro 二手車，就會產生別人也取得同樣一把金鑰的問題。不過，一般的汽電單車也會有被偷的問題。而目前這個問題尚未被 gogoro 官方修復。

但話說回來，黑客這麼大費周章偷走 gogoro 其實沒有太大意義，因為 gogoro 本身就有防盜機制，每台車都有它的序號，被偷的車沒電之後，到換電站換電池時就會被禁止換電池。

物聯網裝置常見問題：配對沒加密

如果連網產品配對沒加密時會怎樣?戴辰宇比喻，「就像你在量體重的時候，其實旁邊的人用網路封包監聽裝置(sniffer)例如 ubertooth one，就可以知道你的體重是多少。」

你可能覺得就算體重或計步器的資訊被偷走也不會怎樣，但根據賓漢頓大學和史蒂文斯理工學院最新的研究指出，有追蹤功能的穿戴式運動手環，由於可以準確記錄使用者手部震動的動作，以至於能還原你在 atm 輸入的銀行帳戶密碼。

***********************************=分割線******************************==