大众和斯柯达汽车存在漏洞，导致发动机故障和车主数据被盗

很近也很远 网络研究观 2024-12-12 15:59

PCAutomotive 的研究人员发现了斯柯达和大众汽车中的多个漏洞。

这些漏洞可能允许攻击者访问敏感系统、禁用车辆或提取用户数据。

安全研究人员在对斯柯达 Superb III 2022 (3V3) 2.0 TDI 车型进行详细分析时发现了这些漏洞。

斯柯达和大众汽车的漏洞

https://pcautomotive.com/vulnerabilities-in-skoda-and-volkswagen-vehicles

这款中型车隶属于大众集团，采用模块化 Querbaukasten (MQB)平台。

PC通信方案概述

受研究人员攻击的主要组件包括由 Preh GmbH 生产的 MIB3 信息娱乐单元，它集成了 Apple CarPlay、Android Auto 和 MirrorLink 用于移动设备连接。

远程信息处理控制单元 (TCU)，它通过蜂窝网络提供无线 (OTA) 更新和与后端服务器通信。

OBD 接口，用于启用诊断和系统命令，以及托管用户和车辆数据的连接配置 Skoda Connect Cloud Backend。

这项研究发现的漏洞已在早些时候的 BlackHat 欧洲会议上公布，其中包括：

拒绝服务攻击（CVE-2023-28898、CVE-2023-28899）

– MIB3 信息娱乐单元：可通过 Wi-Fi 和 Apple CarPlay 连接利用该漏洞导致设备崩溃，从而导致服务中断。

– 发动机关闭：某些 OBD 命令可以在行驶过程中远程禁用车辆的发动机和系统。

–

调试接口访问（CVE-2023-28895）

****- 信息娱乐系统：电源控制芯片 (PWC) 上的硬编码密码可能允许具有物理访问权限的攻击者提取和修改固件，解锁调试功能。

UDS 服务上的弱身份验证（CVE-2023-28896、CVE-2023-28897）

****- OBD 接口：UDS 身份验证中的漏洞允许攻击者从 CAN 总线流量中提取密码并执行未经授权的诊断命令。

通过后端 API 泄露数据（CVE-2023-28900、CVE-2023-28901）

– 斯柯达 Connect Cloud：攻击者可以利用车辆识别号 (VIN) 的不当访问控制来检索用户名、行程数据和敏感车辆详细信息。

• 

斯柯达车主面临的风险

这些漏洞的利用场景需要不同级别的访问，包括物理访问和远程访问。

在第一种情况下，调试接口和 OBD 漏洞需要靠近车辆或其部件。

远程访问可以为利用后端 API 漏洞和车载 Wi-Fi 提供便利。

研究人员还指出，通过 OBD 端口安装恶意设备可能会让攻击者获得长期、持续的访问权。

从 VIN 号检索行程数据

虽然 PCAutomotive 确认后端问题已得到修补，但其余漏洞（特别是硬件级缺陷）的修复程序尚未披露，因此在撰写本文时假定它们尚未修复。

为了降低这些风险，建议车主使用可上锁的盖子限制对 OBD 端口的物理访问。

在不使用时禁用不必要的无线连接，并定期更新车辆固件并监控制造商的建议。

对于大众、斯柯达以及一般汽车制造商来说，建议加强调试和身份验证机制，以防止硬编码密码和弱编码，对后端系统实施强大的访问控制，并确保固件更新过程的安全，以防止篡改。