近日,有安全研究人员发现,起亚部分车型的车载系统存在严重安全漏洞,黑客可借此实现远程控制车辆的关键功能。
该问题是在2025年Hardware.io安全大会上披露的。研究者Danilo Erazo现场演示了攻击过程。他指出,只要是2022年至2025年间出厂、搭载MOTREX MTXNC10AB车载系统的起亚汽车,都可能受到此漏洞的影响。
漏洞存在于系统所使用的RTOS固件中,编号为CVE-2020-8539。攻击者首先可以激活系统中的“micomd”守护进程,并向其中注入恶意指令,然后伪造CAN总线数据帧,通过M-CAN总线将这些指令传送到刹车、转向、空调等关键控制模块,从而实现对车辆的远程操控。
更为严重的是,系统在处理PNG图片时未进行签名验证。黑客可通过插入U盘、蓝牙连接,甚至利用OTA更新推送一张包含恶意代码的图片,诱导车主点击。一旦图片被加载,屏幕上便会弹出一个伪装成“车辆故障,请扫码解决”的钓鱼界面,用户扫码后便会落入陷阱。
此外,系统在固件完整性校验方面也存在明显缺陷。Bootloader仅采用1字节CRC校验,修改部分字节后仍能通过验证。而在串口日志中,还暴露了RSA私钥和蓝牙PIN码等敏感信息,使得攻击者能够直接获取并用于签署虚假固件或与手机配对。
总体来看,只要成功连接上该车型,攻击者理论上可以远程操控车辆行驶,甚至诱骗车主泄露账号密码等重要信息。
本文属于原创文章,如若转载,请注明来源:起亚车载系统漏洞曝光,黑客可远程控制车辆https://ebike.zol.com.cn/1012/10122802.html
