شش آسیب پذیری پچ نشده در سیستم اطلاعات سرگرمی خودرو مزدا از جمله مزدا 3 (2014-2021) شناسایی شده است که میتوان آنها را توسط یک USB ساده در چند لحظه مورد سوء استفاده قرار داد. این آسیب پذیریها به مهاجمان اجازه میدهند تا کد دلخواه را با سطح دسترسی root اجرا کنند.
برخی از آنها امکان دسترسی نامحدود به سیستمهای خودرو را فراهم میآورند که میتوانند بر عملکرد و ایمنی آن تأثیر بگذارند.
این روزها اتومبیلها فقط دارای رایانههای روی چرخ هستند و IVIها، اینترفیس کاربری آنها میباشند. IVI در ادغام با بسیاری از سیستمهای داخلی و خارجی خودرو کار میکند که وظیفه آنها فراهم کردن اطلاعات مفیدی مانند مسیریابی و پیشبینی وضعیت آبوهوا و سرگرمی برای راننده و سرنشینان است.
IVI در اکثر خودروهای مزدا در سالهای اخیر مانند مزدا 3 و CX-3، 5، و 9 با واحد اتصال اصلی مزدا (CMU) ساخته شده است که توسط شرکت Visteon در میشیگان مستقر شدهاند.
CMU یک کامپوننت سخت افزاری اصلی است که خدمات ارتباطی مختلفی از جمله یکپارچه سازی تلفن هوشمند، نقطه اتصال Wi-Fi، و ویژگیهای نظارت و کنترل از راه دور مختلف را امکان پذیر میسازد.
محققان ترند میکرو با نرمافزاری که در ابتدا توسط Johnson Controls توسعه داده شد، آسیب پذیریهایی را در واحد اصلی اتصال Mazda Connect از Visteon یافتند. آنها آخرین نسخه سیستم عامل (74.00.324A) را مطالعه کردند و هیچگونه آسیب پذیری عمومی از قبل گزارش پیدا نکردند.
اگرچه نسخه 74.00.324A به طور رسمی حاوی آسیب پذیری نیست، اما CMU جامعهای از کاربران خود را دارد که عملکرد سیستم را به روشهای مختلف بهبود میبخشند و بسیاری از این ترفندها دارای آسیب پذیری هستند.
اشکالات کشف شده از SQL injection و command injection تا کد بدون امضا (unsigned code) متفاوت میباشند:
- CVE-2024-8355 – این یک آسیب پذیری SQL injection در DeviceManager است که امکان دستکاری پایگاه داده، ایجاد فایل دلخواه و اجرای کد را توسط تزریق ورودی مخرب به هنگام اتصال دستگاه جعلی اپل فراهم میآورد.
- CVE-2024-8359 – یک آسیب پذیری Command Injection در REFLASH_DDU_FindFile که اجازه میدهد تا دستورات دلخواه در سیستم اطلاعات سرگرمی با تزریق دستورات به ورودیهای مسیر فایل اجرا شوند.
- CVE-2024-8360 – یک آسیب پذیری Command Injection در REFLASH_DDU_ExtractFile که اجازه میدهد تا دستورات دلخواه از طریق مسیرهای فایل اجرا گردند.
- CVE-2024-8358 – یک آسیب پذیری Command Injection دیگر که در UPDATES_ExtractFile وجود دارد و اجازه اجرای دستورات را با تزریق در مسیرهای فایل مورد استفاده در فرآیند بهروزرسانی فراهم میکند.
- CVE-2024-8357 – عدم احراز هویت برای دسترسی root در SoC اپلیکیشن و بررسیهای امنیتی در طول فرآیند بوت به مهاجمان اجازه میدهد تا کنترل سیستم اطلاعات سرگرمی را پس از حمله اولیه حفظ کنند.
- CVE-2024-8356 – کد بدون امضا در VIP MCU به سیستم عامل شخص ثالث اجازه آپلود و کنترل زیرسیستمهای مختلف خودرو را می دهد.
مشخص است که این آسیب پذیریها بر خودروهای مزدا 3 تولید شده از سال 2014 تا 2021 و همچنین سایر مدلهای این سازنده تأثیر میگذارند.
بهرهبرداری از این آسیب پذیریها مستلزم دسترسی فیزیکی به سیستم اطلاعات سرگرمی خودرو است. بنابراین، مهاجم میتواند با استفاده از یک دستگاه USB مخصوص به یک ماشین متصل شود و در عرض چند دقیقه حمله را انجام دهد.
دسترسی فیزیکی غیرمجاز به خودرو اغلب چندان دشوار نیست. این شرایط میتواند در یک پارکینگ، در حین سرویس در یک ایستگاه خدمات یا در یک نمایندگی اتفاق بیفتد.
در نتیجه، هک کردن سیستم اطلاعات سرگرمی خودرو با استفاده از باگهای ذکر شده میتواند منجر به دستکاری پایگاه داده، افشای اطلاعات، ایجاد فایلهای دلخواه، تزریق دستورات دلخواه، هک کامل سیستم، تثبیت یک مهاجم در سیستم و اجرای کد دلخواه شود.
به طور جداگانه تأکید شده است که بهره برداری از CVE-2024-8356 امکان نصب نسخه مخرب سیستم عامل را فراهم میآورد منجر به دسترسی به واحدهای کنترل موتور، ترمزها، انتقال و غیره میشود.
به طور کلی، این آسیب پذیری به هکر اجازه میدهد تا از یک برنامه SoC آسیب پذیر که لینوکس را اجرا میکند به یک MCU VIP با نصب یک نسخه آماده شده خاص از فریمور و متعاقباً دسترسی مستقیم به گذرگاههای CAN متصل شود.
یک حمله هدفمند میتواند منجر به هک دستگاههای متصل، انکار سرویس، خرابی کامل و حتی اخاذی شود. در حال حاضر هیچ یک از آسیب پذیریها پچ نشدهاند و نمایندگان مزدا هنوز اظهار نظری نکردهاند.