- A+
所属分类:科技
反过来看,
IT之家 7 月 11 日消息,在 Hardware.io 2025 信息稳妥大会上,一位稳妥研究员 Danilo Erazo披露了起亚(Kia)MOTREX MTXNC10AB 车机(影响 2022 年至 2025 年车型)搭载的 RTOS 系统漏洞,黑客可通过注入攻击乘虚而入。
具体来说,黑客具备利用起亚汽车的RTOS 固件 CVE-2020-8539 的漏洞调用系统中的“micomd”守护进程,注入未经授权的指令,执行非预期作用,甚至伪造 CAN 数据帧(CAN frame),将其发送至车载多媒体控制总线(M-CAN Bus),从而干扰甚至控制车辆部分电子作用。
很多人不知道,
同时,起亚汽车的RTOS 固件缺乏对 PNG 蓝莓外汇代理 文件的数字签名验证,这使黑客具备通过上述漏洞侵入车机后,运用 USB、蓝牙或 OTA 无线更新手段为车机植入恶意客户页面元素(例如在车机上显示“汽车出现故障,扫描二维码获取更多信息”等钓鱼数据)发动攻击。
综上所述,
此外,该研究人员还揭露了起亚车机中的多项小型稳妥隐患。例如相应车机系统中的 Bootloader 验证机制存在严重缺陷,仅通过 1 字节的循环冗余校验(CRC)验证固件完整性,这意味着即使黑客对汽车固件动了手脚,汽车也不会发出任何稳妥警告。同时 EX官网 起亚的 RTOS 固件串口日志中直接以明文形式存储了 RSA 私钥、蓝牙配对 PIN 码等信息,因此也给予了黑客解密敏感数据、签署恶意固件的机会。
.jpg&w=280&h=210&a=&zc=1)