Mazda-systeem kwetsbaar voor aanval met malafide update op usb-stick

In dit artikel:

Verschillende kwetsbaarheden in het Connectivity Master Unit (CMU) systeem van Mazda stellen hackers in staat om via een usb-apparaat met een kwaadaardige updatecode toegang te krijgen tot het voertuig. Dit kan leiden tot het uitvoeren van willekeurige code met rootrechten, wat ernstige beveiligingsproblemen met zich meebrengt. De kwetsbaarheden omvatten SQL en command injection, het gebruik van niet-ondertekende code, en een gebrek aan Root of Trust in de hardware.

De aanvallen kunnen worden uitgevoerd door simpelweg een usb-stick aan te sluiten; er zijn geen specifieke eisen aan de inhoud van het updatebestand. Zodra de usb is aangesloten, wordt de update automatisch geladen en krijgt de aanvaller de mogelijkheid om het root-bestandssysteem te manipuleren. Dit kan resulteren in de installatie van een backdoor die op de lange termijn toegang verschaft, zelfs na een systeemherstart.

Onderzoekers hebben vastgesteld dat deze kwetsbaarheden, bevestigd in een laboratoriumomgeving, ook van toepassing zijn in echte Mazda-auto's, inclusief de Mazda 3-modellen van 2014 tot 2021. Tot nu toe heeft Mazda nog geen beveiligingsupdates uitgerold om deze problemen te verhelpen.