当前位置: 首页 » 资讯 » 新科技 » 正文

起亚汽车中控被曝漏洞,黑客可发起注入攻击

IP属地 中国·北京 编辑:杨凌霄 IT之家 时间:2025-07-11 14:20:42

IT之家 7 月 11 日消息,在 Hardware.io 2025 信息安全大会上,一位安全研究员 Danilo Erazo披露了起亚(Kia)MOTREX MTXNC10AB 车机(影响 2022 年至 2025 年车型)搭载的 RTOS 系统漏洞,黑客可通过注入攻击乘虚而入。


具体来说,黑客可以利用起亚汽车的RTOS 固件 CVE-2020-8539 的漏洞调用系统中的“micomd”守护进程,注入未经授权的指令,执行非预期功能,甚至伪造 CAN 数据帧(CAN frame),将其发送至车载多媒体控制总线(M-CAN Bus),从而干扰甚至控制车辆部分电子功能。

同时,起亚汽车的RTOS 固件缺乏对 PNG 文件的数字签名验证,这使黑客可以通过上述漏洞侵入车机后,使用 USB、蓝牙或 OTA 无线更新方式为车机植入恶意用户界面元素(例如在车机上显示“汽车出现故障,扫描二维码获取更多信息”等钓鱼内容)发动攻击


此外,该研究人员还揭露了起亚车机中的多项小型安全隐患。例如相应车机系统中的 Bootloader 验证机制存在严重缺陷,仅通过 1 字节的循环冗余校验(CRC)验证固件完整性,这意味着即使黑客对汽车固件动了手脚,汽车也不会发出任何安全警告。同时起亚的 RTOS 固件串口日志中直接以明文形式存储了 RSA 私钥、蓝牙配对 PIN 码等信息,因此也给予了黑客解密敏感数据、签署恶意固件的机会。

免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。