研究人员发现斯柯达汽车存在安全漏洞,黑客可能借此远程监控车辆

评论 · 7 浏览

安全研究人员发现,一些斯柯达汽车的娱乐系统存在多个漏洞,这可能让恶意黑客有机会进行操控。

安全研究人员发现了一些斯柯达汽车信息娱乐系统中存在的多个漏洞,这些漏洞可能允许恶意行为者远程触发某些控制并实时追踪汽车的位置。

专注于汽车领域的网络安全公司PCAutomotive在本周的Black Hat Europe会议上公布了12个新发现的安全漏洞,这些漏洞影响了斯柯达Superb III轿车的最新车型。

这已经是该组织在一年前披露了九个相同车型的安全漏洞之后的再次发现。

斯柯达是德国汽车巨头大众汽车旗下的品牌。

PCAutomotive安全评估部门负责人丹尼拉·帕尼什切夫告诉TechCrunch,这些漏洞可以被串联起来,并被黑客利用来注入恶意软件进入车辆。

攻击者需要通过蓝牙连接到斯柯达Superb III的信息娱乐单元才能利用这些缺陷,帕尼什切夫告诉TechCrunch。

这些在车辆MIB3信息娱乐单元中发现的漏洞,可能允许攻击者实现不受限制的代码执行,并在每次单元启动时运行恶意代码。

这可能会让攻击者获取实时车辆GPS坐标和速度数据、通过车内麦克风录音、截取信息娱乐显示屏的画面以及在车内播放任意声音,根据PCAutomotive的说法。

帕尼什切夫告诉TechCrunch,PCAutomotive在一辆Superb III上验证了这些缺陷,攻击者还能够从车主已启用联系人同步功能的车辆中提取电话联系数据库。

“通常手机是加密的,所以你不能轻易提取联系人数据库。

”帕尼什切夫说,“但在信息娱乐单元的情况下可以做到——联系人数据库以明文形式存储。

帕尼什切夫指出,他们没有找到绕过车内网络网关限制的方法来访问如方向盘、刹车和油门等关键安全控制。

在TechCrunch分享给他们的研究中指出,在周四发布之前,PCAutomotive指出,易受攻击的MIB3单元被用于多个大众和斯柯达车型中。

基于公开销售数据,估计有超过140万辆存在潜在风险的车辆。

然而,帕尼什切夫表示,如果考虑到售后市场组件市场的话,存在风险的车辆数量可能会更高。

“如果你去eBay搜索零件编号,你会发现它在那里。

如果前车主没有清除它,他们的联系人数据库也会在那里。

”他解释道。

PCAutomotive表示,在通过公司网络安全披露计划报告后,大众已经修复了这些漏洞。

斯柯达发言人托马斯·德雷切尔通过电子邮件向TechCrunch发表声明称:“报告的信息娱乐系统中的漏洞正在并通过产品生命周期中的持续改进管理措施得到解决和消除。

任何时候都没有对客户或车辆的安全构成任何危险。

评论