部落格與觀點

僅在 2025 年的前幾週，大量勒索軟體攻擊襲擊了全球汽車產業。我們研究近期的案例及其對汽車網路安全的更廣泛影響。

在 Pwn2Own Automotive 2024 期間，研究人員發現Phoenix Contact CHARX SEC-3100電動車充電控制器存在著兩個遠端程式碼執行（RCE）漏洞。我們將深入探討這些漏洞的影響及可能的緩解措施。

我們深入探討了日本NCC集團組隊在 Pwn2Own Automotive 2024競賽中利用的雙漏洞鏈，該漏洞使團隊能夠在 Alpine Halo9 iLX-F509 車載資訊娛樂(IVI)系統上玩射擊遊戲《毀滅戰士(Doom)》。我們強調了攻擊者一旦獲得根(root)訪問權限，後果將更為嚴重，並建議採取對策以降低風險。

這篇文章敘述我們檢查了 Synacktiv 研究人員在 2024 年 Pwn2Own 溫哥華大會上發現的特斯拉輪胎壓力監測系統 (TPMS) 中的零點擊遠端端程式碼執行 (RCE) 漏洞，並強調這個漏洞對連網車輛安全的影響。

Pwn2Own Automotive 2024 競賽發現了 Alpine Halo9 IVI 系統中的一個關鍵的零點擊遠端程式碼執行(RCE) 藍牙漏洞，凸顯了聯網車輛中專有實施的風險。我們將探討這一漏洞的發現過程、利用技術，以及針對新興威脅保障汽車技術安全的關鍵啟要點。

透過將下一代 Oryon 處理器整合到車載系統中，高通 (Qualcomm)在將 GenAI 引入汽車方面邁出了重要一步。這篇文章我們將探討支援 GenAI的技術，除了突顯其變革性的特質，也說明它所帶來的安全挑戰。

ZDI 已在某車載資訊娛樂 (IVI) 系統中發現了六個零日漏洞。由於這些漏洞尚未修補，我們建議採取最佳的安全實踐，最大程度地減少潛在風險並強化連網車輛的 IVI 系統。

電動車 (EV) 充電器中暴露的串列介面存在重大安全漏洞，使攻擊者有機會篡改硬體與韌體。這提高了惡意侵入的意願與可能性，同時凸顯了採取強大安全措施防止此類漏洞被利用的必要性。

讓我們看看 Synacktiv 如何成功利用了兩個錯誤鏈，在 Pwn2Own Automotive 2024 駭客競賽中成功入侵特斯拉的車載資訊娛樂 (IVI) 系統。文中我們將深入探討了這兩個漏洞鏈的運作原理，並強調增強汽車網路安全的安全要點。

我們研究了在 Pwn2Own Automotive 競賽中發現的兩個 Autel MaxiCharger 漏洞：CVE-2024-23967 和 CVE-2024-23957。這兩個漏洞都被分類為基於堆疊的緩衝區溢出，這是一種經典但可避免的程式錯誤，可能會導致遠端程式碼執行。

薄弱的身份驗證和 API 漏洞會給車隊管理系統帶來重大風險，暴露敏感數據，使系統容易受到網絡攻擊。我們將探討關鍵的安全措施，包括加密和 API 保護，以保障車隊管理和電動車（EV）系統的安全。

韓國Kia汽車中的一組漏洞可能曾允許僅使用車牌號碼就能遠端存取關鍵功能和個人資訊，這可能使車主面臨未經授權的控制和資料竊取風險。儘管這些漏洞現在已修復，但這個個案凸顯了汽車製造商(OEMs)需要更加強化網路安全措施的迫切需求。