大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。
专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12个新的安全漏洞。这些漏洞主要出现在MIB3车载娱乐单元中,可能被恶意行为者利用来注入恶意软件,从而未经授权访问车辆的多种功能。
受影响的车型包括2022年生产的斯柯达Superb III(3V3)2.0 TDI,但这个问题可能也影响到使用类似车载娱乐系统的其他斯柯达和大众车型。PCAutomotive估计可能有超过140万辆车辆存在漏洞,如果考虑到售后市场组件,实际数字可能更高。
如果这些漏洞被成功利用,攻击者可能能够:
- 获取实时GPS坐标和速度数据;
- 通过车辆的麦克风记录车内对话;
- 捕获车载娱乐系统显示的屏幕截图;
- 在车内播放任意声音;
- 访问车辆主人的手机联系人数据库。
PCAutomotive的安全评估负责人Danila Parnishchev指出,攻击者可以在10米范围内,无需认证,仅使用蓝牙连接到车辆的媒体单元就能利用这些漏洞。
研究人员还发现了斯柯达和大众汽车OBD接口的问题,这可能允许潜在攻击者绕过车载娱乐单元上的UDS认证。在一项特别令人担忧的发现中,一个漏洞可能在车辆高速行驶时导致车辆发动机和其他部件关闭,尽管这需要对OBD端口进行物理访问。
大众集团作为斯柯达的母公司,据报道在通过他们的网络安全披露计划报告后修补了这些漏洞。斯柯达发言人Tom Drechsler表示,公司正在通过“持续改进管理”解决这些问题,并确保任何时候都不会对客户安全或车辆构成危险。
这一事件凸显了现代汽车中网络安全的日益重要性,因为它们变得越来越互联,越来越依赖复杂的电子系统。这也提醒汽车制造商在设计车辆时需要优先考虑强大的安全措施,并提醒消费者了解他们的联网汽车可能面临的潜在风险。随着汽车行业继续发展更先进的技术,严格的网络安全协议和定期的安全审计变得越发重要,以确保车主的安全和隐私。
参考资料:https://cybersecuritynews.com/vulnerabilities-skoda-volkswagen-cars/