IT之家 7 月 11 日消息,在 Hardware.io 2025 信息安全大會上,一位安全研究員 Danilo Erazo披露了起亞(Kia)MOTREX MTXNC10AB 車機(影響 2022 年至 2025 年車型)搭載的 RTOS 系統漏洞,黑客可通過注入攻擊乘虛而入。
具體來說,黑客可以利用起亞汽車的RTOS 固件 CVE-2020-8539 的漏洞調用系統中的“micomd”守護進程,注入未經授權的指令,執行非預期功能,甚至偽造 CAN 數據幀(CAN frame),將其發送至車載多媒體控制總線(M-CAN Bus),從而干擾甚至控制車輛部分電子功能。
同時,起亞汽車的RTOS 固件缺乏對 PNG 文件的數字簽名驗證,這使黑客可以通過上述漏洞侵入車機后,使用 USB、藍牙或 OTA 無線更新方式為車機植入惡意用戶界面元素(例如在車機上顯示“汽車出現故障,掃描二維碼獲取更多信息”等釣魚內容)發動攻擊。
此外,該研究人員還揭露了起亞車機中的多項小型安全隱患。例如相應車機系統中的 Bootloader 驗證機制存在嚴重缺陷,僅通過 1 字節的循環冗余校驗(CRC)驗證固件完整性,這意味著即使黑客對汽車固件動了手腳,汽車也不會發出任何安全警告。同時起亞的 RTOS 固件串口日志中直接以明文形式存儲了 RSA 私鑰、藍牙配對 PIN 碼等信息,因此也給予了黑客解密敏感數據、簽署惡意固件的機會。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.