网站首页 文章专栏 起亚汽车 MOTREX MTXNC10AB 车机中控被曝漏洞,黑客可发起注入攻击
起亚汽车 MOTREX MTXNC10AB 车机中控被曝漏洞,黑客可发起注入攻击
发布 作者:漾仔 浏览量:1
在 Hardware.io 2025 信息安全大会上,安全研究员 Danilo Erazo 披露了起亚 MOTREX MTXNC10AB 车机的 RTOS 系统漏洞,黑客可通过注入攻击控制车辆部分电子功能。

7 月 11 日消息,在 Hardware.io 2025 信息安全大会上,一位安全研究员 Danilo Erazo 披露了起亚(Kia)MOTREX MTXNC10AB 车机(影响 2022 年至 2025 年车型)搭载的 RTOS 系统漏洞,黑客可通过注入攻击乘虚而入。

具体来说,黑客可以利用起亚汽车的 RTOS 固件 CVE-2020-8539 的漏洞调用系统中的“micomd”守护进程,注入未经授权的指令,执行非预期功能,甚至伪造 CAN 数据帧(CAN frame),将其发送至车载多媒体控制总线(M-CAN Bus),从而干扰甚至控制车辆部分电子功能。

同时,起亚汽车的 RTOS 固件缺乏对 PNG 文件的数字签名验证,这使黑客可以通过上述漏洞侵入车机后,使用 USB、蓝牙或 OTA 无线更新方式为车机植入恶意用户界面元素(例如在车机上显示“汽车出现故障,扫描二维码获取更多信息”等钓鱼内容)发动攻击

此外,该研究人员还揭露了起亚车机中的多项小型安全隐患。例如相应车机系统中的 Bootloader 验证机制存在严重缺陷,仅通过 1 字节的循环冗余校验(CRC)验证固件完整性,这意味着即使黑客对汽车固件动了手脚,汽车也不会发出任何安全警告。同时起亚的 RTOS 固件串口日志中直接以明文形式存储了 RSA 私钥、蓝牙配对 PIN 码等信息,因此也给予了黑客解密敏感数据、签署恶意固件的机会。

loading