《起亚车机系统惊曝高危漏洞!黑客远程操控,安全堪忧》
52
2
起亚车机系统安全漏洞曝光:黑客可远程操控车辆
近日,快科技报道了一起令人震惊的安全事件。在Hardware.io 2025安全大会上,研究员Danilo Erazo揭露了起亚车机系统存在严重的安全漏洞,黑客能够远程操控2022至2025年出厂的起亚汽车,只要车辆安装了MOTREX MTXNC10AB中控。
漏洞存在于RTOS固件,黑客可伪造CAN数据帧
该漏洞藏匿在RTOS固件中,编号CVE-2020-8539。黑客首先唤醒“micomd”守护进程,然后向系统注入恶意指令。接着,他们伪造CAN数据帧,通过M-CAN总线将数据传输到刹车、转向、空调等关键节点,从而实现对车辆的远程操控。
系统对PNG图片无签名验证,黑客可利用U盘、蓝牙传播病毒
更令人担忧的是,起亚车机系统对PNG图片没有进行签名验证。这意味着黑客可以通过U盘、蓝牙甚至OTA推送一张带毒的PNG图片,一旦车主扫描屏幕上弹出的“车辆故障,扫码解决”的钓鱼界面,就可能中招。
Bootloader存在安全风险,黑客可轻易篡改固件
Bootloader只使用了1字节的CRC校验来验证固件完整性,这使得黑客只需修改几个字节,系统就无法察觉。而在串口日志中,RSA私钥和蓝牙PIN码被暴露无遗,黑客可以直接获取这些信息,从而签发假固件或配对手机。
简单来说,只要黑客能够连接到这辆车,理论上就可以让车辆自行行驶,甚至让车主交出账号密码。这一安全漏洞的存在,对车主的行车安全构成了严重威胁。佳骏游戏快讯原创的《起亚车机系统安全漏洞曝光:黑客可远程操控车辆》解析,更多深度好文请持续关注本站。
惊爆预售!《生化危机9:安魂曲》惊悚来袭,超值¥278.4,抢先体验极限求生!
国行PS5 Pro补贴大放价!仅需4899元立省200,抢购新低价!