日产聆风存在多个漏洞,可用于远程监控和物理接管

发布于 作者:

日产聆风存在多个漏洞,可用于远程监控和物理接管

Eduard Kovacs 代码卫士 2025-04-11 10:39

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

PCAutomotive 公司的研究人员在亚洲黑帽大会上,展示了如何利用日产聆风 (Nissan Leaf) 电动车中的一系列漏洞,远程黑入汽车,包括加农和物理接管多种功能。

研究人员的目标是在2020年生产的第二代日产聆风。他们可利用漏洞来使用车载信息娱乐系统的蓝牙功能来渗透该汽车的内网。之后,他们可提升权限并在蜂窝通信建立C2信道,来维持隐秘性并直接通过互联网访问该电动车。

研究人员展示称,攻击者可利用这些漏洞跟踪车辆位置以监控车主,截屏信息娱乐系统并记录车内人员的谈话内容。他们还能够远程控制多种物理功能如车门、刮雨器、喇叭、后视镜、车窗、灯光、甚至是行驶途中的方向盘。

这些漏洞获得8个漏洞编号:CVE-2025-32056至CVE-2025-32063。研究人员在2023年8月向日产聆风披露这些漏洞,而后者直到2024年1月才确认了这些漏洞,更是在最近才分配了CVE编号。

日产的一名发言人评论称,“PCAutomotive 就这项研究联系了日产。出于安全考虑,我们拒绝披露具体的应变措施或者详情,为了客户的安全以及不必要的恐慌,我们将继续开发并推出多项技术,应对日益复杂的网络攻击。”

利用汽车中的漏洞可造成重大经济损失。在最近举行的Pwn2Own 汽车黑客大赛中,研究人员通过利用电动车充电器和信息娱乐系统中的漏洞,总共获得886000美元的赏金。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Git 仓库配置不当 日产北美公司的源代码遭泄露

TCU缺陷可致汽车遭远程入侵 宝马福特日产受影响

超100家汽车经销商网站遭供应链攻击,传播ClickFix恶意代码

报告:攻击面扩大,汽车网络威胁激增

2025 Pwn2Own 汽车大赛落幕 Master of Pwn诞生

原文链接

https://www.securityweek.com/nissan-leaf-hacked-for-remote-spying-physical-takeover/

题图:
Pexels 
License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~