Автомобили Mazda с информационно-развлекательной системой Mazda MZD Connect нового поколения можно взломать, лишь подключив к приборной панели USB флэш-накопитель. Об уязвимостях стало известно еще в 2014 году, и с тех пор они активно используются владельцами Mazda для кастомизации информационно-развлекательной системы, установки новых настроек и приложений.
Как сообщает издание Bleeping Computer, инженер ИБ-компании Bugcrowd Джей Турла (Jay Turla) запустил проект mazda_getInfo, автоматизирующий процесс взлома информационно-развлекательной системы Mazda. Турла начал работу над проектом после того, как сам приобрел автомобиль. «Я просто хотел выяснить возможные векторы атак на мою машину», — заявил инженер.
На прошлой неделе Турла опубликовал исходный код mazda_getInfo на GitHub. Проект позволяет любому желающему скопировать набор скриптов на «флэшку», подключить ее к приборной панели Mazda и выполнить вредоносный код на прошивке MZD Connect. Во время тестирования инженер осуществил простые атаки наподобие печати текста на приборной панели. Поскольку MZD Connect базируется на основе UNIX, кто угодно может написать вредоносный скрипт и осуществить более серьезную атаку.
После подключения к приборной панели USB флэш-накопителя с разработанными Турлой скриптами атаки осуществляются автоматически без какого-либо участия со стороны пользователя. Тем не менее, атаки возможны только при включенной нейтральной передаче или запущенном двигателе. То есть, уязвимости в информационно-развлекательной системе не позволяют завести и угнать машину. Однако не стоит недооценивать проблему. По словам инженера, злоумышленники могут проэксплуатировать уязвимости для создания ботнета из автомобилей Mazda или установить троян для удаленного доступа.
Источник: securitylab.ru
