信息内容

黑客可远程控制,大众汽车曝关键漏洞

来源:互联网 发布时间:2023-06-29 23:44:28 点击量:1530

    黑客可远程控制,大众汽车曝关键漏洞

 

根据GitHub的一份报告,大众汽车Discover Media信息娱乐系统的漏洞是在2023228日发现的。

该漏洞可能会使未打补丁的系统遭到拒绝服务(DoS)攻击。该漏洞起初是由大众汽车的用户发现的,随后大众汽车方面确认了该漏洞,漏洞的标志为CVE-2023-34733

 关于漏洞详情
 
根据GitHub的报告,发现并报告该漏洞的人所使用的车型是大众捷达2021。根据NIST的报告,该漏洞的评分是6.8,是一个中等严重漏洞。


起初该用户将他的笔记本电脑连接到大众汽车的USB端口,并用模糊器生成媒体文件。随后进行模糊测试,以找出大众汽车媒体系统的漏洞。该实验是在包括MP3WMAWAV等媒体文件上进行的。

 

该用户在GitHub上写道,"由于大众汽车的媒体播放器比预期的更强大,我专门为大众汽车的信息娱乐系统创建了一个单独的媒体文件模糊器。我每天模糊处理2万多个媒体文件,经过一天的模糊测试,发现了OGG文件的漏洞"

 

然后通过模糊测试识别了一个媒体文件,导致大众汽车媒体系统中的漏洞被触发。这也导致了大众汽车信息娱乐系统在关闭后无法打开。

 

USB插入端口时,媒体文件会自动播放,信息娱乐系统会被强行终止,这个现象可以通过手动重启大众汽车信息娱乐系统来解决。

 

据观察,该漏洞可能导致远程代码执行等安全问题。

 

大众汽车对该漏洞的回应

该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后,德国汽车巨头对该漏洞进行了确认。


大众汽车给用户的回复截图(照片:GitHub

该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞,后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 "zj3t "的用户确认了该漏洞,并表示该漏洞是一个产品质量的问题,会及时改进。

 

 


分享到:
  
Copyright © 2019 陕西省交通运输厅 版权所有 陕ICP备:05009021号 网站标识码:6100000013

地址:西安市唐延路6号 邮编:710075

建议您使用IE9以上版本或其它支持Html5的浏览器进行浏览

值班室电话:029-88869099 传真:029-88869011

关闭