7月11日消息，起亞全漏近日，車機(jī)程操起亞車機(jī)系統(tǒng)曝安全漏洞，系統(tǒng)黑客竟能遠(yuǎn)程操控。曝安

事情發(fā)生在Hardware.io 2025安全大會(huì)，洞黑研究員Danilo Erazo現(xiàn)場(chǎng)演示：只要一臺(tái)2022—2025年出廠的客竟控起亞裝了MOTREX MTXNC10AB中控，就能被遠(yuǎn)程“拿捏”。起亞全漏

該漏洞藏在名為RTOS固件里，車機(jī)程操編號(hào)CVE-2020-8539，系統(tǒng)黑客先喚醒“micomd”守護(hù)進(jìn)程，曝安再往系統(tǒng)里塞惡意指令，洞黑接著偽造CAN數(shù)據(jù)幀，客竟控順著M-CAN總線一路送到剎車、起亞全漏轉(zhuǎn)向、車機(jī)程操空調(diào)這些關(guān)鍵節(jié)點(diǎn)，系統(tǒng)車輛就像被接管。

更離譜的是，系統(tǒng)對(duì)PNG圖片沒(méi)做簽名驗(yàn)證，黑客可以插U盤(pán)、連藍(lán)牙甚至用OTA推送一張帶毒圖片，屏幕立刻彈出“車輛故障，掃碼解決”的釣魚(yú)界面，車主一掃就中招。

Bootloader只用1字節(jié)CRC校驗(yàn)固件完整性，改幾個(gè)字節(jié)系統(tǒng)毫無(wú)察覺(jué)；串口日志里RSA私鑰、藍(lán)牙PIN碼全裸奔，黑客直接抄走就能簽假固件、配對(duì)手機(jī)。

簡(jiǎn)單說(shuō)，只要連上這輛車，理論上能讓它自己開(kāi)走，也能讓車主把賬號(hào)密碼雙手奉上。