摘要
来自BSides Seattle 2026的安全评估演讲,详细分析了Zero Motorcycles电动摩托车的安全漏洞。
关键发现
- 认证绕过:能够绕过Android app的认证机制
- 固件签名:可以签署任意固件并推送至车辆
- 恶意软件:发现了"可以直接杀人"的恶意软件可能性
- 硬件分析:详细分析了PCB potting策略和灌封树脂移除方法
- 供应链问题:VIN绑定防护可通过ebay绕过
技术细节
研究团队通过购买二手主控制器板进行逆向分析,发现Android应用存在硬编码凭证和固件下载接口漏洞。通过分析OTA更新机制,成功提取了固件下载所需的认证头信息。
灌封树脂分析提供了宝贵的硬件安全研究方法,包括polyurethane、epoxy、silicone三种材料的移除技术对比。
原文
PersephoneKarnstein - Electric Motorcycles are a Security Nightmare