在 Hardware.io 2025 信息安全大会上，安全研究员 Danilo Erazo 披露了起亚 MOTREX MTXNC10AB 车机搭载的 RTOS 系统存在多项安全漏洞。

黑客可以利用 CVE-2020-8539 漏洞调用系统中的“micomd”守护进程，注入未经授权的指令，执行非预期功能，并伪造 CAN 数据帧发送至车载多媒体控制总线，从而干扰甚至控制车辆部分电子功能。

研究人员指出，该系统固件缺乏对 PNG 文件的数字签名验证，允许攻击者通过 USB、蓝牙或 OTA 无线更新方式植入恶意用户界面元素。同时，系统 Bootloader 验证机制仅使用 1 字节循环冗余校验验证固件完整性，无法有效检测非法修改。

此外，RTOS 固件串口日志中以明文形式存储 RSA 私钥、蓝牙配对 PIN 码等敏感信息，为黑客解密数据和签署恶意固件提供了可乘之机。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。