【ITBEAR】近日,趨勢(shì)科技安全團(tuán)隊(duì)揭露,日本知名汽車制造商馬自達(dá)旗下多款車型的車機(jī)系統(tǒng)存在嚴(yán)重安全漏洞。這些漏洞的發(fā)現(xiàn),對(duì)駕駛者及車輛安全構(gòu)成了不小的威脅。
受影響的車型包括2014至2021年款的Mazda 3等,且涉及特定系統(tǒng)版本為74.00.324A的車機(jī)。研究團(tuán)隊(duì)指出,黑客可能通過(guò)控制車主手機(jī),進(jìn)而在車主將手機(jī)連接至車機(jī)系統(tǒng)時(shí),利用漏洞以最高權(quán)限執(zhí)行惡意代碼。
詳細(xì)來(lái)說(shuō),揭露的漏洞包括以下幾項(xiàng):
首先是CVE-2024-8355,這是一個(gè)存在于DeviceManager中的iAP序列號(hào)SQL注入漏洞,允許黑客通過(guò)連接的蘋果設(shè)備進(jìn)行SQL注入攻擊,進(jìn)而以root權(quán)限篡改數(shù)據(jù)庫(kù),實(shí)現(xiàn)代碼的任意執(zhí)行。
其次,CVE-2024-8359、CVE-2024-8360及CVE-2024-8358這三個(gè)漏洞,可使攻擊者在CMU的更新過(guò)程中注入惡意指令,達(dá)到遠(yuǎn)程執(zhí)行代碼的目的。
再者,CVE-2024-8357漏洞涉及SoC驗(yàn)證不足,黑客可借此修改根文件系統(tǒng),植入后門程序,或執(zhí)行任意代碼,而系統(tǒng)無(wú)法進(jìn)行有效驗(yàn)證。
最后,還有一個(gè)影響VIP MCU模塊的CVE-2024-8356漏洞。黑客可通過(guò)篡改更新文件,并在FAT32格式的USB存儲(chǔ)設(shè)備上創(chuàng)建特定文件來(lái)入侵車載網(wǎng)絡(luò)。
研究人員警告,這些漏洞的利用難度并不高。黑客只需制作一個(gè)特制的USB存儲(chǔ)設(shè)備,并將其插入車機(jī)系統(tǒng),便能觸發(fā)漏洞利用過(guò)程。
隨著汽車數(shù)字化進(jìn)程的推進(jìn),車輛安全問(wèn)題日益凸顯。此次馬自達(dá)車機(jī)系統(tǒng)漏洞的發(fā)現(xiàn),再次提醒了車主和制造商需對(duì)車輛安全保持高度警惕。車主應(yīng)及時(shí)關(guān)注并安裝官方提供的軟件更新,以降低潛在風(fēng)險(xiǎn)。
