IT资源栈近日,安全研究员Eric McDonald披露了针对第10代本田思域车载系统的严重安全漏洞,并将其命名为“邪恶代客”。研究表明,本田车机系统的USB更新流程存在致命缺陷,其用于验证OTA更新包合法性的签名密钥,竟然是安卓开源项目(AOSP)早已公开的测试密钥。由于验证逻辑与标准AOSP一致,攻击者只需利用这一公开密钥对恶意软件进行签名,并通过车内USB端口插入,即可绕过所有安全检查,在车机上执行任意代码。这一漏洞允许攻击者在无需传统提权手段的情况下获得系统最高权限,能够植入监控软件或恶意修改车辆设置。为了推进相关研究,研究员发布了名为`ota-builder`和`apk-rebuilder`的开源工具,前者可生成被车机接受的伪装更新包,后者能自动化逆向工程流程。虽然该漏洞要求物理接触车辆,但在车辆保养、代客泊车等场景下极具风险。
事件分析
该事件暴露了传统汽车制造商在数字化转型过程中的安全短板。使用AOSP公开测试密钥进行生产环境签名,表明供应链流程中缺乏基本的安全审计或存在由于开发便利性而牺牲安全的严重失误。这种配置错误级别的漏洞在现代移动设备中极为罕见,却在涉及物理安全的汽车领域出现,令人担忧。从技术角度看,发布的工具链降低了车载Android系统逆向工程的门槛,未来可能引发针对安卓底层车机系统的挖掘热潮。此外,研究员提出的“以工具替代文档,利用LLM解析代码”的思路,也暗示了安全研究方法正随着大模型技术的发展而演变。
💡 核心观点:车企在智能座舱的安全防护上严重滞后,沿用公开测试密钥无异于将系统控制权拱手让人,物理接口仍是当前汽车安全的最大软肋。
原文链接:Hacker News
评论前必须登录!
立即登录 注册