近期，安全研究人员发现大众汽车旗下斯柯达部分汽车的娱乐信息系统存在多个漏洞，这些漏洞可能被恶意攻击者利用，远程控制特定功能并实时追踪汽车的位置。

PCAutomotive近日在黑帽欧洲大会（Black Hat Europe）上披露了12个影响斯柯达Superb III轿车最新款的安全漏洞。这些漏洞的披露时机距公司去年揭露该车型的9个其他漏洞仅一年之隔。

PCAutomotive的安全评估负责人Danila Parnishchev表示，这些漏洞可以被黑客串联起来，利用漏洞注入恶意软件。攻击者只需要通过蓝牙与斯柯达Superb III的媒体单元连接，便能利用这些漏洞进行攻击，而“这种攻击可以在10米内进行，无需身份验证。”

这些漏洞存在于斯柯达Superb III车载MIB3信息娱乐单元中，该系统作为一款相对较新的车载技术平台，广泛应用于大众集团的多个车型中，涵盖了包括蓝牙连接、GPS导航、娱乐音频和通讯同步等多个功能。黑客如果成功利用这些漏洞，可能会实现不受限制的代码执行，并在每次该单元启动时运行恶意代码。这使得攻击者能够获取汽车的GPS实时位置和速度数据，记录车内对话（通过车载麦克风），截取车载显示屏的截图，甚至在车内播放任意声音。

此外，研究还发现，黑客可能通过这些漏洞提取车主手机中的联系人数据库（前提是启用了联系人同步）。通常情况下，手机的联系人数据会经过加密处理，难以提取，但在车载系统中，这些数据是以明文形式存储的，容易被黑客窃取。

目前，研究人员尚未发现绕过车载网络网关（Vehicle Network Gateway）限制的方式，因此未能访问到对车辆安全至关重要的控制系统，如刹车、油门或方向盘等。

PCAutomotive的研究还指出，这些存在漏洞的MIB3信息娱乐单元不仅影响斯柯达Superb III车型，还广泛应用于多个大众和斯柯达品牌的其他车型。根据公开销售数据，PCAutomotive估算，目前市场上可能有超过140万辆车辆存在类似安全隐患。

不过，PCAutomotive还表示，如果考虑到二手市场的零部件流通，受影响的车辆数量可能会更高。二手配件市场中，有些车主未能完全清除车载系统中的个人数据，这意味着他们的联系人信息也可能被暴露给后继车主或攻击者。

在得知这些漏洞后，大众汽车采取了修复措施，发布了相关的安全补丁。公司表示，漏洞已通过网络安全披露程序得到解决，且车主的安全和车辆的驾驶功能未受到威胁。

斯柯达也对外表示，已经通过持续的产品生命周期管理措施解决并消除了这些漏洞。斯柯达发言人表示：“娱乐信息系统中的漏洞已得到修复，客户和车辆的安全从未受到威胁，且没有任何影响到驾驶安全的隐患。”

此次斯柯达Superb III的安全漏洞事件再次引发了对智能汽车安全问题的广泛关注。随着汽车越来越多地依赖互联网和车载信息娱乐系统，车辆不仅是一个交通工具，更是一个智能终端。车载系统的安全漏洞不仅影响车主的隐私保护，也可能导致车辆远程控制的风险，给消费者和制造商带来巨大的安全隐患。汽车制造商必须加强对汽车漏洞安全的关注，及时修复漏洞，降低攻击风险。同时，消费者也需提高安全意识，定期检查和更新车载系统，确保个人信息和驾驶安全不受威胁。