近日,趋势科技安全团队揭露,日本知名汽车制造商马自达旗下多款车型的车机系统存在严重安全漏洞。这些漏洞的发现,对驾驶者及车辆安全构成了不小的威胁。
受影响的车型包括2014至2021年款的Mazda 3等,且涉及特定系统版本为74.00.324A的车机。研究团队指出,黑客可能通过控制车主手机,进而在车主将手机连接至车机系统时,利用漏洞以最高权限执行恶意代码。
详细来说,揭露的漏洞包括以下几项:
首先是CVE-2024-8355,这是一个存在于DeviceManager中的iAP序列号SQL注入漏洞,允许黑客通过连接的苹果设备进行SQL注入攻击,进而以root权限篡改数据库,实现代码的任意执行。
其次,CVE-2024-8359、CVE-2024-8360及CVE-2024-8358这三个漏洞,可使攻击者在CMU的更新过程中注入恶意指令,达到远程执行代码的目的。
再者,CVE-2024-8357漏洞涉及SoC验证不足,黑客可借此修改根文件系统,植入后门程序,或执行任意代码,而系统无法进行有效验证。
最后,还有一个影响VIP MCU模块的CVE-2024-8356漏洞。黑客可通过篡改更新文件,并在FAT32格式的USB存储设备上创建特定文件来入侵车载网络。
研究人员警告,这些漏洞的利用难度并不高。黑客只需制作一个特制的USB存储设备,并将其插入车机系统,便能触发漏洞利用过程。
随着汽车数字化进程的推进,车辆安全问题日益凸显。此次马自达车机系统漏洞的发现,再次提醒了车主和制造商需对车辆安全保持高度警惕。车主应及时关注并安装官方提供的软件更新,以降低潜在风险。