斯柯达和大众汽车信息娱乐系统漏洞：攻击者可在10米内无接触入侵

近日，网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞，这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。专门从事汽车网络安全的公司PCAutomotive在欧洲黑帽大会上公布了影响斯柯达Superb III轿车最新型号的12个新安全漏洞。

这些漏洞主要存在于MIB3信息娱乐单元中，攻击者可以利用这些漏洞获取实时GPS坐标和速度数据、通过车辆的麦克风记录车内对话、捕获车载娱乐系统显示的屏幕截图、在车内播放任意声音以及访问车辆主人的手机联系人数据库。PCAutomotive 估计超过 140 万辆汽车可能容易受到攻击，考虑到售后市场零部件，实际数量可能更高。

如果成功利用这些漏洞，攻击者可以：

• 获取实时GPS坐标和速度数据

• 通过车辆麦克风录制车内对话

• 捕获信息娱乐显示屏的屏幕截图

• 在车内播放任意声音

• 访问车主的电话联系数据库

PCAutomotive的安全评估负责人Danila Parnishchev指出，攻击者可以在10米范围内，无需认证，仅使用蓝牙连接到车辆的媒体单元就能利用这些漏洞。

研究人员还发现了斯柯达和大众汽车OBD接口的问题，这可能允许潜在攻击者绕过车载娱乐单元上的UDS认证。在一项特别令人担忧的发现中，一个漏洞可能在车辆高速行驶时导致车辆发动机和其他部件关闭，尽管这需要对OBD端口进行物理访问。

大众集团作为斯柯达的母公司，据报道在通过他们的网络安全披露计划报告后修补了这些漏洞。斯柯达发言人Tom Drechsler表示，公司正在通过“持续改进管理”解决这些问题，并确保任何时候都不会对客户安全或车辆构成危险。