Institutul Zero Day Initiative (ZDI) avertizează că o serie de vulnerabilități din sistemul de infotainment din mai multe modele de mașini Mazda ar putea permite atacatorilor să execute cod arbitrar cu privilegii de root. Aceste probleme apar deoarece sistemul Connectivity Master Unit (CMU) al Mazda nu verifică corespunzător intrările de la utilizatori. Un atacator poate utiliza un dispozitiv USB special pentru a exploata aceste vulnerabilități.
TLDR:
- Vulnerabilități majore descoperite în unitățile infotainment Mazda pot conduce la control acces neautorizat.
- Atacul se realizează printr-un dispozitiv USB care poate injecta comenzi în sistem.
- Aceste vulnerabilități nu au fost încă remediate de Mazda.
Detalii despre vulnerabilități
Vulnerabilitățile au fost descoperite în versiunea software 74.00.324A a CMU-ului produs de Visteon, cu software dezvoltat inițial de Johnson Controls. O problemă majoră (CVE-2024-8355) apare atunci când un dispozitiv Apple este conectat, iar sistemul utilizează valori fără a le verifica, permitând manipularea bazei de date și executarea de cod. Alte vulnerabilități similare afectează funcțiile de actualizare și pot duce la compromiterea completă a sistemului.
Implicații și risc pentru utilizatori
Exploatarea acestor vulnerabilități permite un acces extins la rețele și ar putea afecta siguranța vehiculară vehiculului. Atacurile pot apărea rapid și pot să nu necesite prea mult timp pentru a compromite sistemul. Utilizatorii ar trebui să fie atenți când permit accesul la porturile USB ale mașinilor sau când lasă vehiculul pe mâna terților.
Cum să vă protejați
Deși Mazda nu a emis încă un patch pentru aceste probleme, utilizatorii pot reduce riscurile limitând conectarea dispozitivelor necunoscute la sisteme și efectuând verificări periodice în service-uri autorizate. Informarea despre actualizările software și securitatea vehiculelor poate ajuta la evitarea posibilelor atacuri. În cazul în care un update devine disponibil, este esențial să fie instalat cât mai curând posibil pentru a proteja sistemul împotriva vulnerabilităților cunoscute.
Sursa articolului:
https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
