HackerNews 编译,转载请注明出处:
研究人员发现,日产Leaf电动汽车存在一系列漏洞,攻击者可利用这些漏洞远程入侵车辆,进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司PCAutomotive开展,并在2025年4月1日举办的Black Hat Asia 2025上进行了详细展示。
研究人员以2020年生产的第二代日产Leaf为研究对象,发现其信息娱乐系统的蓝牙功能存在漏洞,可被攻击者利用作为入侵车辆内部网络的入口。攻击者随后能够提升权限,并通过车载通信模块建立命令与控制(C&C)通道,从而通过互联网直接、隐蔽且持续地访问电动汽车。
研究人员展示了攻击者如何利用这些漏洞监视车主,例如跟踪车辆位置、截取信息娱乐系统屏幕截图以及录制车内人员对话。此外,攻击者还能远程操控车辆的多项物理功能,包括车门、雨刷、喇叭、后视镜、车窗、车灯,甚至方向盘,即使车辆处于行驶状态也不例外。
这些漏洞共被分配了八个CVE标识符,从CVE-2025-32056到CVE-2025-32063。研究人员表示,漏洞披露流程始于2023年8月,日产在2024年1月确认了这些发现,但直到最近才完成CVE分配。
日产的一位发言人表示:“PCAutomotive就其研究与日产取得了联系。出于安全原因,我们拒绝透露具体的对策或细节。为了我们客户的出行安全和安心,我们将继续开发并推出对抗日益复杂网络攻击的技术。”
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
