起亚汽车 MOTREX MTXNC10AB 车机中控被曝漏洞,黑客可发起注入攻击

3C数码
2025
07/11
17:07
IT之家
分享
7 月 11 日消息,在 Hardware.io 2025 信息安全大会上,安全研究员 Danilo Erazo 披露了起亚(Kia)MOTREX MTXNC10AB 车机存在的严重安全隐患,该问题影响 2022 年至 2025 年搭载相关车机的车型,黑客可利用车机搭载的 RTOS 系统漏洞发起注入攻击。


从技术原理来看,黑客利用起亚汽车 RTOS 固件中编号为 CVE-2020-8539 的漏洞,能够调用系统内的 “micomd” 守护进程。通过这个进程,黑客可以向系统注入未经授权的指令,进而执行非预期功能。更为严重的是,黑客还能伪造 CAN 数据帧(CAN frame),并将其发送至车载多媒体控制总线(M-CAN Bus)。汽车的电子功能高度依赖 M-CAN Bus 传输的数据,一旦黑客成功伪造数据帧,就有可能干扰甚至控制车辆部分电子功能,这对行车安全构成了巨大威胁。例如,可能会干扰车辆的空调系统、车窗升降系统等,极端情况下甚至可能影响车辆的刹车、转向等关键系统。


同时,起亚汽车的 RTOS 固件在安全性上还存在另一大漏洞 —— 缺乏对 PNG 文件的数字签名验证。这使得黑客在利用上述漏洞侵入车机后,有了更多发动攻击的途径。黑客可通过 USB、蓝牙或 OTA 无线更新方式,为车机植入恶意用户界面元素。常见的手段如在车机上显示 “汽车出现故障,扫描二维码获取更多信息” 等钓鱼内容,一旦用户扫描二维码,就可能导致个人信息泄露,甚至手机被植入恶意软件,进一步威胁到用户财产安全以及车辆信息安全。


此外,研究人员还揭露了起亚车机中的多项小型安全隐患,同样不容忽视。在车机系统的启动环节,Bootloader 验证机制存在严重缺陷,仅通过 1 字节的循环冗余校验(CRC)来验证固件完整性。这种简单的验证方式,使得黑客即便对汽车固件动了手脚,汽车也不会发出任何安全警告,黑客可以轻易绕过验证,将恶意固件刷入车机,改变车辆系统的运行逻辑。另外,起亚的 RTOS 固件串口日志中,竟然直接以明文形式存储了 RSA 私钥、蓝牙配对 PIN 码等重要敏感信息。黑客一旦获取这些信息,就有机会解密更多敏感数据,甚至签署恶意固件,进一步扩大攻击范围和危害程度。


目前,起亚方面暂未针对此漏洞发布官方回应及解决方案。但随着智能汽车的普及,车机系统安全已成为影响车辆整体安全性的重要因素。此次起亚车机漏洞的曝光,也为整个汽车行业敲响了警钟,各车企需要加强对车机系统安全性的研发与监测,及时修复漏洞,保障车主的人身及财产安全 。
THE END
免责声明:本文系转载,版权归原作者所有;不代表黑科技的观点和立场。

猜你喜欢 Guess you like it

颜值天花板!OPPO A6s Pro发布:首销1999元起 六年流畅

颜值天花板!OPPO A6s Pro发布:首销1999元起 六年流畅

今日,OPPOA6sPro正式发布,首销1999元起,叠加国补后到手价低至1699.15元起。OPPOA6sPro号称颜值天花板,提供青云直上、好运莲莲、夜月生辉三款配色,采用旗舰同款一体冷雕工艺,视

OPPO

3天前

REDMI K90 Max配置汇总:除了风扇还有不少惊喜

REDMI K90 Max配置汇总:除了风扇还有不少惊喜

REDMIK90Max将于4月21日发布,这款新机也迅速成为近期性能旗舰市场中讨论度最高的产品之一。原因并不复杂,一方面,这是REDMIK系列第一次引入“Max”命名;另一方面,官方已经明确释放出多个

REDMI REDMI K90 Max

3天前

iPhone Fold首年销量预计600万至700万 占全球折叠屏市场22%

iPhone Fold首年销量预计600万至700万 占全球折叠屏市场22%

据Digitimes预测,iPhoneFold首年销量预计600万至700万台,占全球折叠屏手机市场约22%份额。即便其定价约2500美元,高于三星与华为同类产品,苹果仍有望领跑市场。作为苹果首款折叠

iPhone

3天前

小米商城上架REDMI R70m:水滴屏+国产6nm芯片 1799元起

小米商城上架REDMI R70m:水滴屏+国产6nm芯片 1799元起

小米商城最新上架了一款名为REDMIR70m的新机,起售价定在1799元。这款机型在配色上提供了丰富的选择,包括羽雾紫、冷雾蓝、星岩黑以及羽雾白四种时尚配色,满足不同消费者的审美需求。在存储规格上,R

小米 REDMI REDMI R70m

3天前

K90 Max续航拉满!8550mAh+100W快充 边玩边充不发烫

K90 Max续航拉满!8550mAh+100W快充 边玩边充不发烫

REDMIK90Max将于4月21日发布,目前已进入官方预热阶段。今日,REDMI手机官微宣布,REDMIK90Max将配备8550mAh大电池,采用16%超高含硅量设计。同时支持100W小米澎湃秒充

REDMI K90 Max

3天前

REDMI K90 Max官宣搭载天玑9500+独显芯片D2:支持全游戏16

REDMI K90 Max官宣搭载天玑9500+独显芯片D2:支持全游戏16

REDMIK90Max将于4月21日19:00发布,定位性能魔王,主打极致游戏体验。今天官方终于官宣核心配置,K90Max搭载天玑9500+独显芯片D2双芯组合,支持全游戏165fps插帧。天玑950

REDMI 天玑9500 REDMI K90 Max

4天前

AI智能化营销