官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
行车记录仪已成为全球驾驶员必备设备,可作为交通事故或道路纠纷的可靠见证。然而,新加坡网络安全研究团队发现了一个令人不安的事实:这些看似无害的设备可在数秒内被劫持,转变为强大的监控工具。
漏洞发现与攻击面分析
在2025年安全分析师峰会上公布的研究结果显示,攻击者能够绕过认证机制,获取设备存储的高清视频、音频记录和精确GPS数据。研究团队测试了约15个品牌的24款行车记录仪,从热门的Thinkware型号开始入手。
大多数行车记录仪(包括无蜂窝网络连接的型号)都内置Wi-Fi功能,可通过移动应用与智能手机配对。这种连接特性形成了巨大的攻击面,恶意攻击者可远程下载存储数据。
卡巴斯基安全研究人员指出,许多行车记录仪使用硬编码默认密码和相似的硬件架构,使其容易遭受大规模攻击。一旦连接成功,攻击者就能访问运行轻量级Linux系统的ARM处理器,进而实施物联网设备攻击中常见的多种成熟利用技术。
认证绕过技术详解
研究人员发现了多种绕过厂商认证的方法:
- 直接文件访问:黑客可请求视频下载而无需密码验证,因为Web服务器仅在主入口点检查凭证
- MAC地址欺骗:攻击者可截获并复制车主的智能手机标识符
- 重放攻击:通过记录合法的Wi-Fi通信数据供后续利用
最令人担忧的是研究人员开发的蠕虫式传播能力。他们编写了直接在受感染记录仪上运行的代码,使得被控设备能在车辆以相近速度行驶时,自动攻击附近的其他记录仪。在城市环境中,单个包含多种密码尝试和攻击方法的恶意载荷可成功入侵约四分之一的记录仪。
数据滥用与隐私威胁
攻击者通过获取的数据可实现:
- 完整移动轨迹追踪
- 车内对话监听
- 乘客身份识别
结合GPS元数据提取、路牌文字识别和OpenAI音频转录技术,攻击者能生成详细的行程摘要,通过分析行为模式有效解除受害者的匿名性。为降低风险,建议驾驶员在不使用时关闭Wi-Fi、修改默认密码并定期更新固件。
参考来源:
Hackers can Hijack Your Dash Cams in Seconds and Weaponize it for Future Attacks
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)