Дослідники з Trend Micro Zero Day Initiative (ZDI) виявили серію критичних вразливостей у інформаційно-розважальній системі Mazda Connect, що становить серйозну загрозу для безпеки автомобілів. Вразливості зачіпають широкий спектр моделей Mazda, випущених з 2014 по 2021 рік, зокрема популярну Mazda 3.
Технічний аналіз виявлених вразливостей
Основною проблемою виявилася система Mazda Connect Connectivity Master Unit виробництва Visteon з програмним забезпеченням Johnson Controls. У поточній версії прошивки (74.00.324A) виявлено множинні вразливості, включаючи можливості SQL-ін’єкцій та виконання непідписаного коду. Особливу небезпеку становить вразливість CVE-2024-8356, яка дозволяє встановити шкідливу прошивку та отримати доступ до критичних систем автомобіля.
Масштаб потенційних загроз
Експлуатація виявлених вразливостей може призвести до повної компрометації транспортного засобу. Зловмисники потенційно можуть отримати:
- Root-доступ до системи керування
- Контроль над CAN-шинами, що відповідають за роботу двигуна, гальм та трансмісії
- Несанкціонований доступ до підключених пристроїв
- Можливість впровадження шкідливого коду на рівні завантажувача операційної системи
Методологія проведення атаки
За даними старшого дослідника ZDI Дмитра Янушкевича, для успішної атаки необхідний фізичний доступ до транспортного засобу. Зловмисник може використати спеціалізований USB-пристрій для компрометації системи протягом кількох хвилин. Найбільш вірогідними місцями проведення атак є паркувальні майданчики, станції технічного обслуговування та дилерські центри.
Станом на сьогодні Mazda не випустила патчів безпеки для виявлених вразливостей. Експерти з кібербезпеки наполегливо рекомендують власникам автомобілів Mazda посилити контроль за фізичним доступом до транспортних засобів та уникати підключення неперевірених пристроїв до бортових систем до моменту випуску офіційних оновлень безпеки. Також важливо регулярно перевіряти наявність оновлень програмного забезпечення та встановлювати їх одразу після випуску виробником.
