Sérülékeny Mazda infotainment (IVI) rendszerek
Több sérülékenységet fedeztek fel a Mazda Connect Connectivity Master Unit (CMU) rendszerben, amelyet több modellbe, például a Mazda 3 2014-2021-es modelljébe építettek be. Mint oly sok esetben, ezek a sérülékenységek is a támadó által megadott bemenet kezelése során végzett elégtelen szanitizálásból adódnak. Egy fizikailag jelen lévő támadó kihasználhatja ezeket a sérülékenységeket egy speciálisan kialakított USB-eszköz – például iPod vagy mobil adathordozó eszköz – célrendszerhez való csatlakoztatásával. Az azonosított sérülékenységek némelyikének sikeres kihasználása tetszőleges kód futtatását eredményezi root jogosultságokkal.
A kutatás célpontját képező CMU egységet a Visteon gyártotta, míg a szoftvert eredetileg a Johnson Controls Inc (JCI) fejlesztette ki. A kutatást a legfrissebb elérhető szoftververzióval (74.00.324A) végezték. A korábbi, legalább a 70.x-ig terjedő szoftververziók is érintettek lehetnek az azonosított sérülékenységekben.
Manapság az autók már csak kerekeken guruló számítógépek, az IVI-k (in-vehicle infotainment) pedig a felhasználói felületük. Az utóbbi évek legtöbb Mazda járművében – mint például a Mazda3 és a CX-3, 5 és 9 – az IVI a Mazda Connect Connectivity Master Unit (CMU) része. A CMU egy központi hardverkomponens, amely különböző csatlakoztatási szolgáltatásokat tesz lehetővé: okostelefon-integrációt, Wi-Fi hotspotot, valamint különböző távfelügyeleti és távvezérlési funkciókat.
Egyik sérülékenység sem rendelkezik még CVSS értékkel és e eddig egyik hibát sem javították ki. Azonban fontos megjegyezni, hogy mindegyik hiba kihasználásához be kell helyeznie a támadónak egy USB-t a középkonzolba.
