7月11日消息，起亞全漏近日，車機(jī)程操起亞車機(jī)系統(tǒng)曝安全漏洞，系統(tǒng)黑客竟能遠(yuǎn)程操控。曝安

事情發(fā)生在Hardware.io 2025安全大會，洞黑研究員Danilo Erazo現(xiàn)場演示：只要一臺2022—2025年出廠的客竟控起亞裝了MOTREX MTXNC10AB中控，就能被遠(yuǎn)程“拿捏”。起亞全漏

該漏洞藏在名為RTOS固件里，車機(jī)程操編號CVE-2020-8539，系統(tǒng)黑客先喚醒“micomd”守護(hù)進(jìn)程，曝安再往系統(tǒng)里塞惡意指令，洞黑接著偽造CAN數(shù)據(jù)幀，客竟控順著M-CAN總線一路送到剎車、起亞全漏轉(zhuǎn)向、車機(jī)程操空調(diào)這些關(guān)鍵節(jié)點(diǎn)，系統(tǒng)車輛就像被接管。

更離譜的是，系統(tǒng)對PNG圖片沒做簽名驗(yàn)證，黑客可以插U盤、連藍(lán)牙甚至用OTA推送一張帶毒圖片，屏幕立刻彈出“車輛故障，掃碼解決”的釣魚界面，車主一掃就中招。

Bootloader只用1字節(jié)CRC校驗(yàn)固件完整性，改幾個(gè)字節(jié)系統(tǒng)毫無察覺；串口日志里RSA私鑰、藍(lán)牙PIN碼全裸奔，黑客直接抄走就能簽假固件、配對手機(jī)。

簡單說，只要連上這輛車，理論上能讓它自己開走，也能讓車主把賬號密碼雙手奉上。

本文來源：http://www.iv82.cn/news/0b35899641.html

版權(quán)聲明：本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)，該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容，請發(fā)送郵件舉報(bào)，一經(jīng)查實(shí)，本站將立刻刪除。