2025年底,两个安全研究员想花400美元买块电路板,结果被厂家直接拉黑。他们转头在eBay淘了块二手货,泡进化学试剂里,最后写出一篇能让电动车车主失眠的论文——你手机上的摩托App,可能是把能杀人的钥匙。
这不是科幻片开场,是Bureau Veritas安全团队在BSides Seattle 2026上的真实分享。他们测试的是美国电动摩托头部品牌Zero Motorcycles,结果发现:认证绕过、固件伪造、远程控车,漏洞多到能拍连续剧。最讽刺的是厂家防研究员比防黑客还积极。
第一道关卡:买零件比黑系统还难
测试需要主控板(MBB),官方渠道报价400美元,但下单时必须提供整车VIN码。研究员Mitchell Marasch和搭档邮件来回几轮,Zero直接取消订单退款。官方零售渠道的门禁逻辑,把安全研究当成了假想敌。
「我怀疑这是供应链安全机制,或者单纯防倒卖。」团队在原演讲中吐槽。但防君子不防小人——eBay上同款二手板子随便买,价格差不多,还不用查户口。
板子到手后才是真功夫开始。主控板被俄罗斯套娃式封装:外层ABS塑料壳,内层灌满环氧树脂。网上教程说二氯甲烷(CH₂Cl₂)能溶解树脂,团队泡了一碗,结果只长出几簇漂亮晶体,树脂纹丝不动。
互联网也会骗人,或者他们看错了文章。但反正,化学攻击失败。
最后靠机械暴力解决:台虎钳夹住,热风枪软化,一点点剥。拆开发现芯片和电路布局——厂家在物理防护上的心思,明显比软件端多得多。
App端:你的登录凭证在裸奔
硬件只是开胃菜。团队重点攻的是Zero官方Android应用,毕竟这是大多数车主的日常交互入口。
逆向工程很快发现问题:App与服务器通信时,某些关键接口缺乏有效签名验证。简单说,服务器太轻信客户端说的话。团队构造特定请求,成功绕过身份认证——不需要知道你的密码,就能以你的身份给车发指令。
更麻烦的是固件签名机制。电动摩托的固件更新本该有密码学保护,确保只有官方代码能刷进车机。Zero的实现被找到绕过路径,研究员能自行签署「合法」固件包。
这意味着什么?攻击者可以构造恶意固件,通过官方更新渠道推送给车辆。论文里甚至伪代码演示了一段「瞬间致命恶意软件」——不是真的写出来,是证明可行性足够让人坐不住。
电动摩托的固件控制动力输出、刹车响应、电池管理。传统汽车黑客需要物理接触OBD接口,这里可能只需要一个WiFi信号和社工技巧。
厂家反应:沉默比漏洞更响
研究团队在2026年初公开发现,演讲标题毫不客气:「电动摩托是安全噩梦」。Zero Motorcycles至今未对媒体发表详细回应。
这种沉默在物联网安全领域不算新鲜。电动车厂商的DNA里写着续航和扭矩,加密协议和代码审计是成本中心。Zero不是小公司,北美电动摩托市占率领先,但安全团队预算显然没跟上销量。
对比传统车企,特斯拉2015年就启动漏洞赏金计划,通用、宝马紧随其后。摩托车行业整体落后一个时代——内燃机时代不需要防远程攻击,电动化把整辆车变成联网终端,思维还没切换过来。
研究员在演讲中留了余地:「这些漏洞不代表Zero不努力,是新技术的常态。」但「常态」二字本身就是问题。当2万美元的消费级载具能被远程植入致命代码,「太新所以没经验」不再是免责金牌。
行业镜像:所有智能载具的预演
Zero的案例是缩影。电动两轮市场正在爆发,中国小牛、九号,美国Zero、LiveWire,欧洲Silence,都在堆智能化功能。GPS定位、远程解锁、OTA升级、社交分享——每多一个联网功能,就多一个攻击面。
安全研究的尴尬在于:你需要先证明危险,厂家才愿意修。但证明过程本身就在制造危险——论文公开的技术细节足够让有基础的黑客复现。Zero的固件签名绕过方法,从发现到公开,厂家有多少时间窗口修复?团队没透露披露流程细节,但行业惯例90天期限,对需要召回或OTA修补的硬件来说,往往不够。
更深层的问题是架构。消费电子的安全模型是「设备信任云端」,汽车正在转向「零信任+硬件安全模块」。电动摩托卡在中间:算力不如汽车,安全预算不如手机,却承担同样的物理风险。
研究员最后展示了一张图:被台虎钳夹变形的主控板,树脂残渣还挂在芯片边缘。物理防护的笨拙,对应软件防护的潦草。
热门跟贴