V mazde lahko vdremo z USB-ključkom

Objavljeno: 17.6.2017 15:00 | Teme: varnost

Mazdini novi modeli avtomobilov, ki imajo nov informacijski sistem MZD Connect, so ranljivi za napad prek USB-ključka, ki ga preprosto vključimo v priključek na armaturni plošči. Pri tem gre za izkoriščanje ranljivosti, ki so poznane že vsaj od maja 2014, ko se je o njih začelo govoriti na forumih. Odtlej so si zanesenjaki izdelali celo namensko orodje MZD-AIO-TI (All in One Tweaks Installer), ki omenjene ranljivosti izkoristi za prilagoditev sistema in namestitev novih aplikacij.

Na podlagi teh informacij in iz teh orodij je nastal mazda_getInfo, katerega kodo lahko od minulega tedna najdemo tudi na Githubu. Gre sistem skript, ki ji skopiramo na USB-ključ, ki ga potem vstavimo v avtomobil in se požene sam brez vsake interakcije. S skriptami je mogoče izvajati različne operacije, od izpisovanja besedila na armaturni plošči do bolj vsiljivih, denimo namestitve RAT (Remote Access Trojans) ali ponovne aktivacije dostopa prek SSH, ki jo je Mazda onemogočila.

Da napad deluje, mora motor vozila delovati ali pa mora biti avtomobil v posebnem načinu upravljanja (accessory mode). To pomeni, da omenjenih ranljivosti ne moremo uporabiti za tatvino avtomobila, če motorja prej ne zaženemo kako drugače.

Mazda je dejala, da so omenjene ranljivosti popravili v firmwaru, ki je izšel minuli mesec. Dodali so, da omenjeni informacijski sistem obvladuje malo funkcij, zato večjih težav tako ni mogoče povzročiti. A obvladuje tudi odklepanje brez ključa, odziv sistema za opozarjanje na zapustitev vozišča itd.

Prizadeti modeli so: Mazda CX-3, CX-5, CX-7, CX-9, Mazda2, Mazda3, Mazda6 in MX-5.

BleepingComputer

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki