Владельцы Mazda могут пострадать от вредоносного ПО

Эксперты в области ИБ обнаружили уязвимости в информационно-развлекательном блоке Mazda Connect, который установлен в нескольких моделях автомобилей, включая Mazda 3 (2014-2021). Эти уязвимости могут быть использованы хакерами для установки вредоносного ПО и выполнения произвольного кода с правами root.

Одна из обеспокоенных сторон сообщает, что проблемы в системе уже некоторое время остаются нерешенными как со стороны производителя, так и со стороны поставщика мультимедийных компонентов. Некоторые из обнаруженных багов являются критическими и могут предоставить злоумышленникам неограниченный доступ к внутренним сетям передачи данных в ряде автомобилей, что может негативно сказаться на работе систем и безопасности транспортных средств.

Экспертам удалось идентифицировать уязвимости в главном блоке подключения Mazda Connect (CMU) от компании Visteon, которая изначально разработала программное обеспечение в сотрудничестве с Johnson Controls. Исследователи проанализировали последнюю версию прошивки (74.00.324A) и смогли выполнить SQL-инъекции, а также запустить произвольный код при наличии физического доступа к информационно-развлекательной системе Mazda.

Среди выявленных уязвимостей:

1. CVE-2024-8355: SQL-инъекция в DeviceManager, позволяющая злоумышленникам манипулировать базой данных или выполнять произвольный код, подставляя вредоносные данные при подключении поддельного устройства App;

2. CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile, которая дает возможность выполнять произвольные команды в информационно-развлекательной системе через командные инъекции в пути файлов;

3. CVE-2024-8360: Командная инъекция в REFLASH_DDU_ExtractFile, аналогично предыдущей, она позволяет выполнять команды ОС через несанкционированные пути.

Ранее в Китае обнаружили незаконный сбор и использование секретных геоданных в ходе реализации иностранным предприятием проекта в области передовых автомобильных технологий.