Verschillende kwetsbaarheden in het Connectivity Master Unit (CMU) systeem waar allerlei Mazda-modellen gebruik van maken zijn eenvoudig te misbruiken door alleen een usb-apparaat met malafide update aan te sluiten. Een aanvaller kan zo willekeurige code met rootrechten uitvoeren. De autofabrikant heeft nog geen beveiligingsupdates voor de in totaal zes beveiligingslekken uitgebracht, zo meldt securitybedrijf ZDI.
De CMU is verantwoordelijk voor onder andere de communicatie tussen bijvoorbeeld mobiele telefoons en bluetooth en het versturen en ontvangen van video-/audiosignalen met betrekking tot het entertainmentsysteem. Het systeem is kwetsbaar voor SQL en command injection, alsmede het gebruik van ongesigneerde code en ontbrekende Root of Trust in de hardware, wat in het ergste geval tot het uitvoeren van code met rootrechten kan leiden.
Alleen het aansluiten van een usb-apparaat, zoals een usb-stick, met een malafide updatebestand is hiervoor voldoende. Bij één van de kwetsbaarheden zijn geen specifieke exploitvereisten, zoals de geldigheid van het speciaal geprepareerde updatebestand. Een aanvaller sluit de usb-stick aan en de update wordt automatisch geladen. Zodra de eerste compromittering heeft plaatsgevonden kan de aanvaller het root-bestandssysteem manipuleren en zo 'persistence' verkrijgen en langere tijd actief blijven. Zo is het mogelijk een backdoor te installeren die ook na de herstart van het systeem blijft werken.
Het uitvoeren van de aanval vereist volgens de onderzoekers slechts een paar minuten. De onderzoekers merken op dat ze de aanvallen alleen in een labomgeving hebben getest , maar er geen aanleiding is om aan te nemen dat het CMU-systeem in een echte Mazda anders reageert. Via het gecompromitteerde CMU-systeem zijn vervolgens aangesloten systemen aan te vallen. Mazda heeft de problemen nog niet verholpen, aldus de onderzoekers. De kwetsbaarheden zijn onder andere aanwezig in de Mazda 3-modellen van 2014 tot en met 2021.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.