This post is also available in:
English (אנגלית)
דו"ח שפורסם לאחרונה ב-Zero Day Initiative של Trend Micro חשף מספר חולשות אבטחה במערכות המולטימדיה ברכבי מאזדה, שחושפות את הרכב לפגיעה ע"י גורמים זדוניים. החולשה משפיעה על מערכת ה-Connectivity Master Unit המשמשת מגוון דגמים של מאזדה, כולל דגמי מאזדה 3 מהשנים 2014 עד 2021. למרות שזוהו, חולשות אלה טרם תוקנו, מה שמשאיר את כלי הרכב לפגיעים למגוון של תקיפות סייבר.
הדו"ח חושף שש חולשות קריטיות במערכת ה-CMU העלולות לאפשר לתוקף להפעיל כל קוד שרירותי עם גישה בסיסית למערכת המולטימדיה של הרכב. בעיית הליבה היא סדרה של חולשות להזרקת פקודות למערכת ההפעלה, הנגרמות על ידי "חיטוי" לא מספק כאשר המערכת מעבדת קלט חיצוני. פרקטית, משמעות הדבר היא ששחקן זדוני יכול לנצל את הפגמים על ידי הכנסת כונן USB שהוכן מראש לתוך מערכת המולטימדיה.
כדי לנצל את החולשה, התוקף זקוק לגישה פיזית לרכב למשך מספר דקות בלבד. התקן ה-USB יצטרך להכיל קובץ זדוני, כאשר שם הקובץ מסתיים ב-".up" – פורמט המוכר על ידי המערכת כעדכון תוכנה. לאחר שהמכשיר מחובר, המערכת תפעיל עדכון באופן אוטומטי, ותבצע את פקודות התוקף ללא כל התערבות נוספת מצד המשתמש. תהליך הניצול הוא פשוט יחסית, והתקיפה יכולה לפעול באופן סמוי מבלי שיבחינו בה, אלא אם כן יינקטו אמצעי אבטחה מתאימים.
ההשלכות האפשריות של התקפה כזו הן חמורות. תוקף עלול לקבל שליטה מלאה על מערכת המולטימדיה, מה שיוביל למניעת שירות פוטנציאלית, הדברה של התקנים מחוברים, ואפילו התקנה של תוכנות כופרה. במקרים חמורים יותר, התוקף יכול לנצל את מערכת הקבצים הבסיסית של הרכב או להתקין רכיבי דלת אחורית אשר יכולים להשפיע על תפעול הרכב או בטיחותו, על פי Cybernews.
החוקרים מציינים כי אירוע זה מדגיש בעיה רחבה יותר בתעשיית הרכב: אפילו מוצרים בוגרים עם היסטוריה ארוכה של תיקוני אבטחה עדיין יכולים להכיל נקודות תורפה קריטיות. פגמים אלה מצביעים על הצורך בפרוטוקולי אבטחה קפדניים יותר בפיתוח מערכות מידע בידורי לרכב, ומדגישים את החשיבות הגוברת של אבטחת סייבר במגזר הרכב.
