去年11月,专精汽车领域的安全企业PCAutomotive揭发漏洞,他们发现2022年生产的第3代Skoda中大型房车Superb,存在一系列的漏洞,攻击者有机会借由MIB3车载资讯娱乐系统(Infotainment Unit)的调试机制,导致车辆的Wi-Fi网络出现拒绝服务(DoS)的现象。值得留意的是,这些漏洞不光影响Skoda旗下车款,同时也影响母公司大众(VW)车辆的车载系统。在上周举行的大型安全会议Black Hat Europe 2024其中,这些研究人员再度公布另一批漏洞细节。
研究人员指出,他们这次公布的12项漏洞,攻击者能够串联运用,将恶意程序注入车辆。攻击者可通过蓝牙与车载系统的多媒体组件连接,从而利用漏洞展开攻击,估计有140万辆大众、Skoda汽车曝险。
这些漏洞在经过通报后,大众已经进行修补。Skoda发言人Tom Drechsler向科技新闻网站TechCrunch表示,,他们已经在产品生命周期的持续改进管理流程中缓解这些漏洞,目前并未对车辆或车主造成危险。
这些漏洞可能带来哪些影响?在车载资讯娱乐系统启动的过程里,攻击者能够不受限制地执行恶意程序代码,从而得到车辆的GPS定位资讯及车速数据、利用车上的麦克风录制驾驶及乘客的对话内容、截取车载系统的屏幕截屏,或是在车上播放任何声音。
他们提及,这些漏洞还能在车主激活联系人同步机制的情况下,让攻击者入侵电话联系人数据库。研究人员指出,照理来说,这些用户的联系人数据通常会经过加密处理,但他们通过车载系统,就能取得纯文本的数据。
