安全研究人员发现，斯柯达汽车所采用的某些信息娱乐系统存在多个安全漏洞，这些漏洞可能使恶意用户远程操控车辆并实时追踪其位置。

专注于汽车行业的网络安全公司PCAutomotive，在本周于欧洲黑帽大会（Black Hat Europe）上公布了影响斯柯达Superb III轿车最新款型的12个新安全漏洞。就在一年前，该公司还披露了影响同一车型的另外9个漏洞。斯柯达是德国汽车巨头大众汽车旗下的汽车品牌。

PCAutomotive安全评估主管Danila Parnishchev向TechCrunch透露，黑客可以利用这些漏洞向汽车注入恶意软件。Parnishchev表示，攻击者需通过蓝牙连接到斯柯达Superb III的媒体单元来利用这些漏洞，但“攻击可在10米范围内无需身份验证即可执行”。

PCAutomotive指出，在车辆MIB3信息娱乐单元中发现的漏洞，能让攻击者实现无限制的代码执行，并在每次启动单元时运行恶意代码。这不仅能获取车辆的实时GPS坐标和速度数据，还能通过车内麦克风记录对话，截取信息娱乐显示屏的屏幕截图，并在车内播放任意声音。

Parnishchev向TechCrunch透露，PCAutomotive在Superb III上验证的这些漏洞，还允许攻击者提取车辆所有者的电话联系人数据库，前提是所有者已启用与汽车的联系人同步功能。

“通常手机是加密的，因此无法轻松提取联系人数据库，”Parnishchev表示，“但在信息娱乐单元中，这是可行的——联系人数据库以纯文本形式存储。”

Parnishchev指出，他们尚未找到绕过车内网络网关限制以访问关键安全汽车控制（如方向盘、刹车和油门）的方法。

在周四发布前与TechCrunch分享的研究中，PCAutomotive指出，易受攻击的MIB3单元被用于多款大众和斯柯达车型，根据公开销售数据，估计可能有超过140万辆汽车存在此类漏洞。

然而，Parnishchev表示，如果考虑售后组件市场，易受攻击的车辆数量可能会更高。“如果你在eBay上搜索零件编号，你会找到它。如果之前的用户没有删除它，他们的联系人数据库也会在那里，”他解释道。

PCAutomotive表示，大众汽车在收到公司通过网络安全披露计划提交的报告后，已修复了这些漏洞。

斯柯达发言人Tom Drechsler在给TechCrunch的电子邮件声明中表示：“已报告的信息娱乐系统漏洞已通过我们产品的生命周期持续改进管理得到识别，并正在得到解决和消除。我们的客户或车辆的安全从未且永远不会受到任何威胁。”