【十步”杀”一车】大众和斯柯达曝12个组合漏洞，攻击者可在10米内无接触入侵

原创 红岸基地赵小龙 暗影网安实验室 2024-12-16 02:02

事件经过

近期，安全研究人员发现大众旗下斯柯达部分车型的车载信息娱乐系统存在多个漏洞，这些漏洞可能被攻击者利用以远程控制特定功能并追踪汽车位置。PCAutomotive在黑帽欧洲大会（Black Hat Europe）上披露了12个影响斯柯达Superb III最新款车型的安全漏洞，而去年同款车型曾被揭露存在9个漏洞。PCAutomotive的负责人Danila Parnishchev指出，这些漏洞可被串联利用，通过蓝牙连接媒体单元即可发动攻击，攻击范围在10米内且无需身份验证。

漏洞列表

• 如果这些漏洞被成功利用，攻击者可能能够：

  • 获取实时GPS坐标和速度数据；

  • 通过车辆的麦克风记录车内对话；

  • 捕获车载娱乐系统显示的屏幕截图；

  • 在车内播放任意声音；

  • 访问车辆主人的手机联系人数据库。

• 获取实时GPS坐标和速度数据；

• 通过车辆的麦克风记录车内对话；

• 捕获车载娱乐系统显示的屏幕截图；

• 在车内播放任意声音；

• 访问车辆主人的手机联系人数据库。

总结

这些漏洞集中在MIB3信息娱乐系统中，该系统广泛应用于大众集团旗下多款车型，支持蓝牙、GPS导航、娱乐音频和通讯同步等功能。若被成功利用，黑客可实现代码执行，并在系统启动时运行恶意程序，从而访问汽车GPS位置、速度数据、车载麦克风录音、显示屏截图，以及播放任意声音。此外，研究发现车主手机中的联系人数据库若启用同步功能，也可能因明文存储而被窃取。

目前，研究人员未能绕过车载网络网关限制，无法访问刹车、油门或方向盘等关键控制系统。根据PCAutomotive的估算，受影响的车辆可能超过140万辆，且二手市场的零部件流通可能进一步扩大影响范围。一些车主未清除车载系统中的个人数据，增加了信息泄露风险。

大众汽车针对这些漏洞发布了安全补丁，并表示车主安全未受到威胁。斯柯达也表示已通过生命周期管理措施修复漏洞，并强调未对驾驶安全构成影响。这一事件再次引发对智能汽车安全问题的关注，车载系统的漏洞可能导致隐私泄露和远程控制风险。汽车制造商需强化安全措施，及时修复漏洞，消费者也应提高安全意识，定期更新车载系统以保护个人信息和驾驶安全。

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

大家对于网络安全感兴趣的话，不妨来加一下我们的老师，我们会定期在给大家分享
渗透工具
和
实战文章
，还会有
渗透公开课
可以试听！

扫码添加，提升自己，可以关注我，晚上10点进行直播间展示！

👇👇👇

后续一些打击犯罪文章会在下方公众号发布