哪些车型受此漏洞影响？

目前已确认2021款本田Civic存在该漏洞。但使用类似多媒体系统的其他车型可能也面临相同风险。

攻击者能否通过此漏洞控制车辆？

不能。该漏洞仅影响多媒体系统，发动机、刹车等关键系统不受影响。

车主应避免将车辆交由第三方无故使用，并禁止连接未经验证的USB设备。厂商需加强软件更新的安全防护。

安全

2026年6月15日

简要回答

2021款本田Civic多媒体系统存在一处允许通过USB端口安装未授权应用的漏洞，攻击者可利用AOSP公开测试密钥植入恶意软件。

软件开发专家埃里克·麦克唐纳德（Eric McDonald）在2021款本田Civic多媒体系统中发现了一处关键安全漏洞。问题在于系统在通过USB端口更新软件时缺乏足够的保护：系统会接受由Android开源项目（AOSP）公开测试密钥签名的文件。这使得攻击者能够安装未授权应用，包括恶意软件。

专家描述了名为“EvilValet”的攻击场景。例如，当车主将车辆交由停车场或维修店时，攻击者可利用临时访问权限安装间谍软件。恶意应用能够收集车辆传感器数据，包括录音、位置追踪甚至视频录制。收集的信息可通过蓝牙、Wi-Fi或移动网络传输。

尽管该漏洞不影响车辆安全系统，但对用户隐私构成严重威胁。麦克唐纳德指出，此类问题在汽车行业屡见不鲜：厂商常忽视基础安全措施，尽管车辆数字化程度日益提高。他以大众汽车为例，该公司因无法通过空中下载（OTA）更新而拒绝修复奥迪和大众车型的漏洞。

对于2021款本田Civic车主，麦克唐纳德在GitHub上发布了突破多媒体系统限制的工具。但他警告称，操作不当可能导致系统故障，需整体更换。

Dzen 订阅： /feed/dzen.xml · RSS： /feed.xml