快科技 7 月 11 日消息，近日，起亚车机系统曝安全漏洞，黑客竟能远程操控。

事情发生在 Hardware.io 2025 安全大会，研究员 Danilo Erazo 现场演示：只要一台 2022 — 2025 年出厂的起亚装了 MOTREX MTXNC10AB 中控，就能被远程 " 拿捏 "。

该漏洞藏在名为 RTOS 固件里，编号 CVE-2020-8539，黑客先唤醒 "micomd" 守护进程，再往系统里塞恶意指令，接着伪造 CAN 数据帧，顺着 M-CAN 总线一路送到刹车、转向、空调这些关键节点，车辆就像被接管。

更离谱的是，系统对 PNG 图片没做签名验证，黑客可以插 U 盘、连蓝牙甚至用 OTA 推送一张带毒图片，屏幕立刻弹出 " 车辆故障，扫码解决 " 的钓鱼界面，车主一扫就中招。

Bootloader 只用 1 字节 CRC 校验固件完整性，改几个字节系统毫无察觉；串口日志里 RSA 私钥、蓝牙 PIN 码全裸奔，黑客直接抄走就能签假固件、配对手机。

简单说，只要连上这辆车，理论上能让它自己开走，也能让车主把账号密码双手奉上。