文章总结： 研究人员发现紫光展锐UIS7862A汽车芯片存在严重漏洞，攻击者可利用3GRLC协议的栈缓冲区溢出缺陷远程劫持汽车仪表盘。通过精心构造的数据包和ROP链技术，攻击者能绕过安全机制，获取车机Android系统内核权限，运行任意应用。该漏洞揭示了汽车供应链中黑盒组件的脆弱性，建议车主及时更新固件并提高安全意识。 综合评分： 89 文章分类： 漏洞分析,IoT安全,威胁情报,移动安全,供应链安全

致命漏洞！黑客可远程劫持汽车仪表盘

看雪学苑

看雪学苑

2025年12月18日 18:00 上海

近年来，随着汽车智能化浪潮的推进，现代车辆已逐渐演变为“车轮上的物联网设备”。这种深度互联在提升驾乘体验的同时，也带来了严峻的安全挑战。曾经只存在于假设中的场景——黑客远程劫持汽车仪表盘并运行《毁灭战士》等游戏——如今已成为令人胆寒的现实。

这一安全危机的根源，在于广泛部署于现代汽车中控单元（车机）的系统级芯片技术。这类芯片通常将负责车载娱乐、车辆控制的应用处理器与负责网络连接的通信处理器集成在一起。其中，紫光展锐（Unisoc）的UIS7862A SoC芯片成为本次漏洞的焦点。该芯片集成了支持3G、4G和5G网络的调制解调器（Modem），而这正是攻击者最初的突破口。

安全研究人员发现，攻击者可以利用该调制解调器中3G RLC协议实现上的一个关键缺陷发起攻击。通过对固件的深入分析，他们发现协议在处理数据包分片时，缺乏足够的边界检查。这一疏漏使得远程攻击者能够在安全信道建立之前，绕过标准的蜂窝网络安全措施，在调制解调器处理器上执行任意代码。

技术核心：栈缓冲区溢出漏洞

该漏洞的技术根源，在于解析传入服务数据单元的函数中存在一个栈缓冲区溢出。协议允许数据包中包含数量不限的可选报头，并通过一个特定位来标识。解析算法会顺序处理这些报头，并将数据写入一个栈变量。然而，栈深度被严格限制在0xB4字节，而恶意数据包的大小最高可达0xF0字节。

攻击者只需发送一个包含足够多报头的畸形数据包，即可触发溢出，覆盖函数返回地址。由于该函数缺乏栈保护机制，研究人员通过**面向返回的编程**技术绕过了不可执行栈的限制，构建了一个ROP链，将执行流重定向到AT+SPSERVICETYPE 命令处理程序，从而实现了向内存传输数据的能力。

c

// 漏洞解析逻辑的伪代码示意voidprocess_sdu_headers(packet_data *sdu){uint16_t header_stack[0x5A];// 仅0xB4字节的缓冲区while(sdu->has_more_headers){// 未检查边界，导致写入超出缓冲区范围        header_stack[index++]=read_next_header();}}

通过利用这种内存破坏，攻击者最终能够执行自己的代码，其手段包括修补内存保护单元表以获取写入权限。此访问权限使攻击者得以进一步入侵车机运行的Android系统内核，最终在汽车中控单元上运行任意应用程序，完全掌控仪表盘显示与功能。

此次漏洞的发现，尖锐地揭示了汽车供应链中“黑盒”组件的脆弱性。车企往往将关键通信模块作为整体组件引入，对其内部安全机制缺乏深度审查。当芯片层面的底层协议存在缺陷时，整车安全防线便可能从最意想不到的环节被攻破。

对于广大车主而言，虽然大规模针对性攻击风险目前相对较低，但此漏洞敲响了警钟。安全专家建议：密切关注汽车制造商发布的固件更新通知并及时升级；对于非必要的车载互联功能，可考虑阶段性关闭以减小攻击面；同时，应对车机系统保持与手机、电脑同等级别的安全意识，不安装来源不明的应用。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

查看原文：《致命漏洞！黑客可远程劫持汽车仪表盘》