ktauchathuranga/CVE-2025-70994

# CVE-2025-70994：雅迪 T5 电动自行车身份验证薄弱漏洞 [](https://opensource.org/licenses/MIT) [](https://www.cve.org/CVERecord?id=CVE-2025-70994) [](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C&version=3.1) ## 摘要 在雅迪 T5 电动自行车（2024 年及之后生产的型号）的无钥匙进入系统中发现了一个高风险安全漏洞。该系统在 433.92 MHz ISM 频段上使用 EV1527 固定代码 RF 协议，未实施滚动代码或加密的挑战-响应机制。 由于 20 位的车辆地址是静态的，并且与命令授权解耦，在近距离内的攻击者可以拦截非敏感命令（例如，按响车辆铃声），并通过数学方式合成高敏感度命令（例如，“启动/点火”）。这允许通过重放攻击实现对车辆的完全未经授权操作。 | 字段 | 详细信息 | |---|---| | **目标平台** | 雅迪 T5 电动自行车（2024 年及之后生产） | | **漏洞类型** | 弱身份验证 (CWE-1390) | | **协议** | EV1527 固定代码 (433.92 MHz ASK/OOK) | | **影响** | 权限提升 / 未经授权访问车辆 | | **补丁状态** | 厂商未提供全局修复方案 | | **披露状态** | 与美国国土安全部 (CISA) 和 CERT/CC 合作进行的协调公开披露（2026 年 4 月 23 日） | | **CVSS v3.1 基础分数** | **7.3（高）** | | **CVSS v3.1 向量** | `AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C` | ## 技术分析 ### 协议架构 (EV1527) 该系统依赖于兼容 EV1527 的 RF 编码器。每次传输由通过通断键控 (OOK) 脉宽调制传输的 24 位数据有效载荷组成。 **帧结构：** 1. **同步脉冲：** 约 11.2ms 持续时间（1 个高电平，31 个低电平周期） 2. **24 位有效载荷：** - **[位 23-4] 地址/ID：** 特定遥控器独有的固定 20 位标识符。 - **[位 3-0] 命令：** 4 位指令（例如，锁定、解锁、启动、寻车）。 ### 身份验证缺陷 核心漏洞源于缺乏序列计数器（滚动代码）。车辆接收器仅通过验证 20 位地址来对命令进行身份验证。 由于此地址永远不会改变，捕获*任何*合法信号都会暴露静态密钥。攻击者可以记录信号，提取 20 位 ID，附加标准化的“启动”十六进制代码（`0x2`），并广播合成的 24 位帧。车辆将接受此伪造的命令为合法命令。 **标准命令映射：** | 十六进制 | 二进制 | 功能 | |---|---|---| | `0x1` | 0001 | 寻车 / 铃声 | | `0x2` | 0010 | 启动 / 点火 | | `0x4` | 0100 | 解锁 | | `0x8` | 1000 | 锁定 | ## 缓解措施与对策 ### 致车辆所有者 电子锁因该协议缺陷而受到根本性破坏。强烈建议雅迪 T5 的车主： 1. 出于安全目的，摒弃电子无钥匙进入系统。 2. 使用固定在不可移动物体上的重型物理锁定机制（例如，U 型锁、硬化钢链）。 3. 使用机械转向锁。 ### 致制造商 1. 在对安全性要求极高的应用中，停用 EV1527、PT2262 及相关固定代码 IC。 2. 过渡到加密滚动代码实现（例如，AES-128，KeeLoq）。 ## 概念验证：信号分析器 提供的 `poc_analyzer.cpp` 是一个精简的 Arduino 脚本，专为 ESP8266 和 CC1101 收发器设计。它通过被动监听 433.92 MHz 频段，识别 EV1527 同步脉冲，并将 24 位帧解码为明文，从而有效地暴露静态车辆 ID，以此来演示该漏洞。 **硬件要求：** * ESP8266 (NodeMCU/Wemos D1) * CC1101 RF 收发器模块（SPI 接口） ## 披露时间线 标准的 90 天负责任披露窗口于 2025 年 12 月 31 日启动。在缺乏厂商实质性补救措施之后，与美国国土安全部 (CISA) 建立了协调。禁运期最终延长至 2026 年 4 月 23 日，以便发布同步的联邦安全公告。 | 日期 | 事件 | |---|---| | 2025-12-31 | 向厂商发送了初始漏洞披露 | | 2026-02-24 | MITRE 分配了跟踪 ID CVE-2025-70994 | | 2026-03-03 | 通过 US CERT/CC (VINCE) 请求正式协调 | | 2026-03-31 | 美国 CISA 启动协调；禁运期正式延长以发布联合联邦公告 | | 2026-04-23 | 与 CISA 同步进行公开披露 |

点击展开完整通信日志

* **2025-12-31：** 向 `MARKET@yadea.com` 发送了“安全漏洞：雅迪 T5 无钥匙进入系统中的严重身份验证缺陷”。 * **2026-01-08：** 向 `MARKET@yadea.com` 和 `service@yadea.com` 发送了“回复：安全漏洞：雅迪 T5 中的严重身份验证缺陷（跟进）”。 * **2026-02-24：** 向 `MARKET@yadea.com` 和 `service@yadea.com` 发送了“回复：安全漏洞：雅迪 T5 无钥匙进入系统中的严重身份验证缺陷，已分配 CVE-2025-70994”。 * **2026-02-26：** 联系到雅迪员工 01（通过 LinkedIn）。 * **2026-02-26：** 联系到雅迪员工 02（通过 LinkedIn）。 * **2026-03-01：** 联系了雅迪 LinkedIn 商业主页。 * **2026-03-02：** 向 `cncert@cert.org.cn` 发送了“紧急：协调漏洞披露升级 - 雅迪 T5 电动自行车 (CVE-2025-70994)”。 * **2026-03-02：** 于 26 年 3 月 1 日通过 `https://www.sei.cmu.edu/contact-us/` 联系了 SEI 的 Ashen, Chathuranga。 * **2026-03-02：** 联系了斯里兰卡 Abans Group（通过 LinkedIn）。 * **2026-03-02：** 联系了 Abans Auto - Yadea（通过 LinkedIn）。 * **2026-03-03：** 感谢您向 VINCE 提交 VRF#26-03-NVVXM (`https://kb.cert.org/vince/comm/report/`)。 * **2026-03-06：** 填写了联系我们表单 (`https://yadea.com/contact-us`)。 * **2026-03-07：** 向 `servicedtc@yadea.com`、`MEDIA@yadea.com`、`ir@yadea.com.cn`、`ydsh@yadea.com.cn`、`export@yadea.com.cn` 和 `service@yadea.com` 发送了“紧急：严重安全漏洞报告 (CVE-2025-70994) - 转发给 CISO/工程部”。 * **2026-03-07：** 向 `inquiries@abanservice.lk` 和 `info@abansgroup.com` 发送了“紧急：请立即转交给 ABANS AUTO 管理层或企业法务/公关部门”。 * **2026-03-07：** 通过 LinkedIn 联系了雅迪科技集团副总裁、产品运营主管和全球业务副总裁。 * **2026-03-25：** 提交了另一份联系我们表单 (`https://yadea.com/contact-us`)。 * **2026-03-25：** 在 LinkedIn 上 ping 了雅迪公司主页。 * **2026-03-25：** 在 X（原 Twitter）上发布了提及雅达 (`@YadeaGlobal`) 的帖子。 * **2026-03-28：** 向 `MEDIA@yadea.com`、`ir@yadea.com.cn`、`servicedtc@yadea.com`、`ydsh@yadea.com.cn`、`export@yadea.com.cn`、`service@yadea.com` 抄送 `cc:info@abansgroup.com` 发送了“最终通知：严重漏洞 CVE-2025-70994 (雅迪 T5) 禁售期于 3 月 31 日解除”。 * **2026-03-28：** 更新了 VU#235481：雅迪 T5 电动自行车工单状态。 * **2026-03-30：** 收到斯里兰卡区域售后服务中心工程师的首次厂商回复，要求进行电话沟通。 * **2026-03-31：** 收到美国国土安全部 (CISA) 的来函，指出厂商未作响应并建立了协调披露时间线。 * **2026-04-20：** CISA 请求短暂延迟以获得最终发布批准。同意将公开披露禁运期延长至 2026 年 4 月 23 日，以发布同步的联邦公告。

## 参考文献 * [CISA ICS 公告：ICSA-26-113-01](https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-01) * [CWE-1390：弱身份验证](https://cwe.mitre.org/data/definitions/1390.html) * [EV1527 数据手册](https://cdn-shop.adafruit.com/datasheets/PT2262.pdf) * [CVSS v3.1 计算器](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) * [MITRE 上的 CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) ## 作者 **Ashen Chathuranga** — 安全研究员 [](mailto:ktau.chathuranga@gmail.com) [](https://www.linkedin.com/in/ktauchathuranga/) [](https://github.com/ktauchathuranga)

标签：433.92MHz, CISA, CSV导出, CVE-2025-70994, CVSS 7.3, CWE-1390, EV1527协议, ISM频段, RF重放攻击, 信号截获, 协议分析, 固定代码, 射频安全, 弱身份验证, 无钥匙进入系统, 未授权访问, 权限提升, 漏洞PoC, 物联网安全, 电动汽车安全, 硬件黑客, 遥控器破解, 雅迪T5