在最近举行的安全信息会议上,安全研究员Danilo Erazo宣布了起亚Motrex MTXNC10AB车辆系统的一系列安全安全风险。此问题影响了配备RTOS系统的2022年至2025年的一些型号,黑客可以使用它来执行注射攻击以控制某些车辆操作。研究人员指出,黑客可以通过利用RTOS固件中的CVE-2020-8539弱点来干扰或控制电子车系统,向车辆系统注入非法指示,触发意外操作,甚至可以触发公共汽车数据框架,甚至可以与多米亚控制的车辆控制或控制电动机系统的电动系统。作为Kadditional,车辆系统在处理PNG图像文件时未执行数字签名验证,为攻击提供了利用的机会。进攻系统攻击后,他或她可以种植恶意界面EL通过USB接口,蓝牙连接或无线固件更新(OTA)的元素。例如,在汽车的计算机屏幕上显示了诸如“车辆故障,我 - 扫描以获取更多信息”之类的钓鱼提示,以欺骗用户做事。 Danilo Erazo还宣布了许多其他安全缺陷。例如,引导加载程序完整性验证机制存在主要弱点,该机制仅依赖于1字节循环冗余验证(CRC)来确认是否已篡改了固件。这意味着即使是ANG固件也发生了恶意更改,系统也不会发出任何警告。此外,RTOS固件的串行端口日志信息与RSA私钥和蓝牙销钉代码配对一起保存了敏感数据,这进一步增加了签署数据分配和恶意固件的风险。小编:在最近的一次信息安全会议上,安全研究员Danilo Erazo宣布了起亚MOTR
当前网址:https://www.jling-tech.com//a/meishi/1137.html
