在近日举行的一场信息安全会议上,安全研究人员 Danilo Erazo 公布了起亚(Kia)MOTREX MTXNC10AB 车载系统中存在的一系列安全隐患。该问题影响搭载 RTOS 系统的 2022 至 2025 年款部分车型,黑客可借此实施注入攻击,进而操控车辆的部分功能。
研究人员指出,黑客可通过利用 RTOS 固件中的 CVE-2020-8539 漏洞,调用系统内的“micomd”守护进程,向车机系统注入非法指令,触发非预期操作,甚至伪造 CAN 总线数据帧,并将其发送至车载多媒体控制总线(M-CAN Bus),从而干扰或控制车辆电子系统。
除此之外,该车机系统在处理 PNG 图像文件时未进行数字签名验证,这为攻击者提供了可乘之机。攻击者可在入侵系统后,通过 USB 接口、蓝牙连接或无线固件更新(OTA)方式植入恶意界面元素。例如,在车机屏幕上显示类似“车辆发生故障,请扫描二维码获取更多信息”的钓鱼提示,诱骗用户操作。
Danilo Erazo 同时披露了其他多项安全缺陷。例如,Bootloader 的完整性验证机制存在重大漏洞,仅依赖 1 字节的循环冗余校验(CRC)来确认固件是否被篡改。这意味着即使固件遭到恶意修改,系统也不会作出任何警告。此外,RTOS 固件的串口日志信息以明文形式保存了包括 RSA 私钥和蓝牙配对 PIN 码在内的敏感数据,进一步增加了数据被解密及恶意固件被签名的风险。
本文属于原创文章,如若转载,请注明来源:起亚车载系统曝安全漏洞,黑客可操控车辆功能https://news.zol.com.cn/1012/10122201.html
