起亚车载系统曝安全漏洞，黑客可操控车辆功能

安全研究人员 Danilo Erazo 发现起亚 MOTREX MTXNC10AB 车载系统存在多个安全隐患，影响 2022 至 2025 年部分车型。黑客可利用 CVE-2020-8539 漏洞注入非法指令，操控车辆功能，甚至伪造 CAN 总线数据帧。此外，系统处理 PNG 文件时未验证数字签名，可能被植入恶意界面。Bootloader 的完整性验证机制存在缺陷，仅依赖 1 字节 CRC 校验，无法有效检测固件篡改。RTOS 固件的串口日志以明文形式保存敏感信息，如 RSA 私钥和蓝牙 PIN 码，增加数据泄露风险。