文章总结： 文档分析了雅迪T5电动车（2024年及以后型号）无钥匙进入系统的高危漏洞CVE-2025-70994，其根源是采用EV1527固定编码协议导致静态地址验证缺陷，攻击者可通过RF信号重放实现车辆未授权启动。文章详细阐述了技术原理、影响范围，并给出车主使用物理锁具、厂商更换安全协议的实用建议。漏洞CVSS评分7.3，目前无法通过软件更新修复。 综合评分： 82 文章分类： 漏洞分析,IoT安全,移动安全,威胁情报,漏洞预警

CVE-2025-70994：雅迪T5电动车弱认证漏洞分析

幻泉之洲

2026年4月25日 14:00 北京

在小说阅读器读本章

去阅读

雅迪T5电动车（2024年及以后生产型号）的无钥匙进入系统存在高风险安全漏洞。攻击者无需物理接触车辆，通过监听RF信号即可合成“启动”指令，实现对车辆的无钥匙解锁和操作。文章详细分析了该漏洞的技术原理、影响范围与修复措施。

漏洞概述

CVE-2025-70994漏洞影响雅迪T5电动自行车（2024年及以后生产的型号）。这个漏洞的根源是车辆的无钥匙进入系统采用了不安全的EV1527固定编码RF协议，缺乏滚动码或密码学挑战-应答机制。

漏洞的危害等级是高危。CVSS v3.1评分7.3分。这意味着攻击者只要在车辆附近，就能通过重放攻击完全控制车辆。

• CVE编号：CVE-2025-70994
• 漏洞类型：弱认证（CWE-1390）
• 影响范围：特权提升 / 未经授权的车辆访问
• CVSS 评分：7.3（High）

技术原理分析

通信协议：EV1527固定编码

雅迪T5的系统依赖一个兼容EV1527的RF编码器。每次通信都在433.92 MHz ISM频段上，通过开关键控（On-Off Keying）发送一个24位的数据负载。

一个完整的通信帧结构是：

• 同步脉冲：持续时间约11.2ms。
• 24位有效载荷：20位固定地址/ID + 4位指令（例如锁车、解锁、启动、寻车铃）。

认证缺陷：静态地址等于万能钥匙

真正的问题是认证机制。车辆的接收器仅验证那20位的地址是否匹配，就认为指令是合法的。这20位地址每个遥控器固定不变，而且它和授权指令的操作是脱钩的。

攻击流程变得非常简单：

1. 用RF设备（比如CC1101模块）在433.92 MHz频段监听信号。
2. 等车主按一下寻车铃（或其他非敏感操作），抓取这个信号。
3. 从信号中提取出那20位的静态车辆识别码。
4. 将这个识别码与代表“启动”动作的4位标准代码（十六进制0x2）组装成一个新的24位数据帧。
5. 将这个合成的“启动”指令广播出去，车辆就会执行。

因为车辆只认地址，不验证指令来源，所以它能被完全伪造的控制信号欺骗。以下是已知的4位指令代码映射：

| 十六进制 | 二进制 | 功能 | | — | — | — | | 0x1 | 0001 | 寻车铃/定位 | | 0x2 | 0010 | 启动/点火 | | 0x4 | 0100 | 解锁 | | 0x8 | 1000 | 锁车 |

一句话概括：任何人拿到车辆的静态ID，就等于拿到了任意启动它的万能钥匙。

影响范围

受此漏洞直接影响的是2024年及以后生产的雅迪T5电动自行车。漏洞存在于其无钥匙进入系统的核心协议中。

这个协议缺陷是根本性的，受影响车辆无法通过简单软件更新修复。截至公开披露日（2026年4月23日），厂商尚未提供全局性的修复方案。

PoC说明

研究团队提供了一个概念验证脚本poc_analyzer.cpp，这是一个为ESP8266和CC1101收发器精简的Arduino程序。

它不发送攻击信号，仅作为信号分析器，被动监听433.92 MHz频段。它的作用是：

1. 识别EV1527的同步脉冲。
2. 解码接收到的24位数据帧。
3. 将解码后的地址和指令以明文形式显示出来。

这证明了攻击者能有多么轻松地从空中窃取出那关键的20位静态车辆ID。所需硬件很容易买到：一个NodeMCU和一块CC1101射频模块。

修复建议与缓解措施

给车主的建议

由于协议层面的设计缺陷，电子锁本身已不再安全。雅迪T5的车主应该：

1. 放弃依赖该无钥匙进入系统来保障安全。
2. 立刻使用重型物理锁具（如U型锁、加固链条锁）将车辆固定于无法移动的物体上。
3. 确保使用机械方向把锁。

实话实说，电子锁现在就是个摆设，防君子不防小人。

给制造商的建议

电动两轮车的智能化不能以牺牲安全为代价。对于雅迪及其他制造商：

1. 立刻停止在涉及安全的关键应用中使用EV1527、PT2262这类固定编码芯片。
2. 转向采用具备密码学保护的滚动码方案，例如AES-128或KeeLoq（注意KeeLoq本身也有历史漏洞，需要正确实现）。未来的新车型必须设计安全的身份验证流程。

披露时间线

研究人员遵循了负责任披露流程，但整个过程颇为曲折。

| 日期 | 事件 | | | — | — | — | | 2025-12-31 | 向厂商发送初始漏洞披露 | | | 2026-02-24 | MITRE分配CVE ID：CVE-2025-70994 | | | 2026-03-03 | 通过美国CERT/CC（VINCE）请求协调 | | | 2026-03-31 | 美国CISA介入协调，延长禁售期以联合发布联邦安全公告 | | | 2026-04-23 | 与CISA协调，公开披露 | |

在长达近四个月的时间里，研究人员通过邮件、领英、联系表格等多种渠道尝试联系厂商，但未获得实质性的修复承诺。最终，在美国国土安全部CISA的协调下，完成了此次公开披露。

完整的沟通记录显示，除了斯里兰卡的一位区域售后工程师有过一次回应外，厂商层面基本处于失联状态。这种情况让协调披露变得非常必要。

参考资料

• CISA ICS咨询：ICSA-26-113-01（https://www.cisa.gov/news-events/ics-advisories/icsa-26-113-01）
• CWE-1390: Weak Authentication（https://cwe.mitre.org/data/definitions/1390.html）
• CVSS v3.1 Calculator（https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator）
• CVE-2025-70994 on MITRE（https://www.cve.org/CVERecord?id=CVE-2025-70994）

物联网设备，尤其是交通载具的安全，不能再被忽视。一个静态的RF地址就能解锁一辆车？

获取方式：私信回复”CVE-2025-70994″获取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《CVE-2025-70994：雅迪T5电动车弱认证漏洞分析》