Mazda Connect ranjivost
Sigurnosni istraživači Trend Micro inicijative Zero Day su otkrili potencijalne ranjivosti u Mazda Connect informaciono-zabavnom sistemu. Ove ranjivosti mogu dozvoliti zlonamjernim akterima da ometaju bezbjednosne sisteme automobila, dajući im neviđenu kontrolu nad različitim podsistemima vozila, što predstavlja značajnu prijetnju milionima vozača širom sveta.
MAZDA CONNECT
Mazda Connect je informaciono-zabavni sistem koji pruža povezanost za zabavu, komunikaciju i navigaciju u Mazda vozilima. Ovaj sistem omogućava korisnicima da integrišu svoje pametne telefone, pristupe muzici i aplikacijama i koriste glasovnu kontrolu za komunikaciju bez upotrebe ruku tokom vožnje.
Kako automobilska industrija, kao i svaki drugi tehnološki sektor, nije imuna na bezbjednosne prijetnje, tako su sigurnosni istraživači otkrili niz ranjivosti otkrivenih u Mazda Connect informaciono-zabavnom sistemu.
Ranjivosti
Mazda Connect ranjivosti otkrivene u softveru njihovog informaciono-zabavnog sistema predstavljaju značajne rizike za vlasnike vozila, jer ih potencijalno mogu iskoristiti zlonamjerni akteri koji dobiju fizički pristup automobilu. Ove prijetnje se mogu manifestovati tokom različitih scenarija kao što su parking usluge, putovanja sa dijeljenjem vožnje ili čak dok se vozilo servisira u radionici.
Ranjivosti su pronađene u sistemu Connectivity Master Unit (CMU) određenih Mazda modela i mogu dovesti do potpunog i trajnog ugrožavanja informaciono-zabavnog sistema. Ovo kompromitovano stanje može omogućiti zlonamjernom akteru da izvrši proizvoljan kôd sa root privilegijama, što bi potencijalno moglo da izazove napade uskraćivanja usluge (eng. denial-of-service attacks – DoS), blokiranje uređaja ili čak instaliranje ransomware zlonamjernog softvera koji cilja povezane uređaje u vozilu. U ekstremnim slučajevima, ove ranjivosti mogu da ugroze bezbjednosne sisteme u automobilu. Ovo su ranjivosti otkrivene od strane sigurnosnih istraživača:
- CVE-2024-8355: DeviceManager SQL injekcija – Omogućava zlonamjernim akterima da manipulišu bazom podataka ili izvršavaju kôd umetanjem zlonamjernog unosa prilikom povezivanja lažnog Apple uređaja,
- CVE-2024-8359: Ubacivanje komande u REFLASH_DDU_FindFile – Omogućava zlonamjernim akterima da pokreću proizvoljne komande na informaciono-zabavnom sistemu ubacivanjem komandi u ulaze putanje datoteke,
- CVE-2024-8360: Ubacivanje komande u REFLASH_DDU_ExtractFile – Slično prethodnoj ranjivosti, omogućava zlonamjernim akterima da izvršavaju proizvoljne komande operativnog sistema kroz neispravne putanje datoteka,
- CVE-2024-8358: Ubacivanje komande u UPDATES_ExtractFile – Omogućava izvršavanje komande ugrađivanjem komandi u putanje datoteka koje se koriste tokom procesa ažuriranja,
- CVE-2024-8357: Nedostaje Root of Trust u App SoC – Nedostaju bezbjednosne provjere u procesu pokretanja, što omogućava zlonamjernim akterima da zadrže kontrolu nad informaciono-zabavnim sistemom nakon napada,
- CVE-2024-8356: Nepotpisani kôd u VIP MCU – Omogućava zlonamjernim akterima da otpreme neovlašteni upravljački softver (eng. firmware), potencijalno dajući kontrolu nad određenim podsistemima vozila.
Bitno je napomenuti da se ove ranjivosti mogu iskoristiti zajedno da bi se postigao potpuno i postojano kompromitovanje informaciono-zabavnog sistema. Međutim, dalje istraživanje procesa ažuriranja i potencijalnih metoda zaobilaženja provjere potpisa nije u potpunosti istraženo zbog ograničenja u raspoloživim resursima u vrijeme istraživanja. To znači da bi zlonamjerni akter sa dovoljnim vještinama mogao potencijalno da proizvede ispravno potpisana ažuriranja ili pronađe način da zaobiđe provjeru potpisa, što znači da bi mogao iskoristiti ove ranjivosti čak i nakon što su ispravke objavljene.
Uticaj
Ovo istraživanje naglašava činjenicu da čak i zreli automobilski proizvodi sa dugom istorijom bezbjednosnih popravki mogu sadržati ranjivosti sa velikim uticajem. Uprkos brojnim naporima da popravi ove nedostatke, Mazda tek treba da ih riješi, ostavljajući milione vozila ranjivim na putevima širom Amerike, Evrope i šire. Proces ažuriranja je istražen samo do tačke provjere potpisa. Dalja istraga bi pretpostavila mogućnost da se proizvedu pravilno potpisane ispravke ili zaobilaznice provjere potpisa.
Ovaj skup ranjivosti u stvarnom svetu je dobar podsjetnik da fokusiranje samo na jednu klasu grešaka ili korištenje jednog skupa bezbjednosnih alata ne rezultira bezbjednim primijenjenim sistemima. Nedavno je u bezbjednosnoj zajednici bilo puno fokusa i diskusija o važnosti bezbjednosti programskih jezika i memorijski bezbjednih programskih jezika. Ovaj istraživački napor i njegov rezultat su istakli činjenicu da se ranjivosti sa velikim uticajem mogu naći čak i u veoma zrelim proizvodima sa dugom istorijom bezbjednosnih ispravki, naglašavajući potrebu za sveobuhvatnim bezbjednosnim mjerama kako bi se osigurala bezbjednost sistema.
ZAKLJUČAK
Nalazi ovog istraživanja naglašavaju važnost holističkog pristupa sajber bezbjednosti u automobilskoj industriji. Fokus ne bi trebalo da bude samo na jednoj klasi grešaka ili na korištenju jednog skupa bezbjednosnih alata kao što je statička analiza kôda, već na usvajanju sveobuhvatnih strategija koje obuhvataju različite aspekte bezbjednosti sistema. Ovo uključuje primjenu bezbjednih praksi kôdiranja, sprovođenje redovnih procjena ranjivosti i testiranja penetracije i obezbjeđivanje robusnih mehanizama ažuriranja za blagovremeno otklanjanje otkrivenih nedostataka.
Ranjivosti Mazda Connect informaciono-zabavnog sistema služe kao opomena i za proizvođače automobila i za potrošače. One naglašavaju potrebu za kontinuiranom budnošću, proaktivnim mjerama i zajedničkim naporima između aktera u industriji kako bi se osigurala bezbjednost i sigurnost vozila koja su sve više povezana sa drugim uređajima. S obzirom da ranjivosti nisu ažurirane, to naglašava hitnu potrebu da dobavljači daju prioritet sajber bezbjednosti u svom životnom ciklusu razvoja proizvoda. Kako se krećemo ka budućnosti u kojoj autonomna vozila postaju sve zastupljenija, od ključnog je značaja da proizvođači automobila preduzmu proaktivne korake kako bi osigurali svoje sisteme od potencijalnih prijetnji i osigurali sigurnost i pouzdanost ove tehnologije u nastajanju.
ZAŠTITA
U svjetlu nedavnog otkrivanja značajnih bezbjednosnih nedostataka u različitim modelima automobila Mazda, ključno je za vlasnike vozila i pružaoce usluga da preduzmu hitne mjere kako bi zaštitili svoja vozila od potencijalne eksploatacije. Evo nekoliko praktičnih preporuka koje mogu pomoći u ublažavanju ovih ranjivosti:
- Prva linija odbrane leži u jednostavnom činu izbjegavanja da nepoznati ili nepouzdani USB uređaji budu povezani na Mazda mutimedijalni sistem. Ova mjera predostrožnosti značajno smanjuje rizik od uvođenja zlonamjernog upravljačkog softvera koji bi mogao da ugrozi bezbjednost vozila,
- Ograničiti pristupa treće strane automobilu, posebno u okruženjima u kojima je moguć pristup Connectivity Master Unit (CMU) bez nadzora je od suštinskog je značaja. Ovo uključuje usluge parkiranja vozila, usluge dijeljenja vožnje ili radnje za servis automobila,
- Održavanje informaciono-zabavnog Mazda sistema ažuriranim najnovijim bezbjednosnim ispravkama čim postanu dostupne je ključno. Preporučljivo je preuzimanje ažuriranja samo iz zvaničnih izvora ili pouzdanih kanala kako bi se osigurala njihova autentičnost i efikasnost u rješavanju ovih ranjivosti,
- Potrebno je biti informisan o svim novim razvojima, ispravkama ili preporukama u vezi sa Mazda bezbjednosnim nedostacima. Ovo se može postići redovnim provjeravanjem internet lokacije proizvođača, praćenjem vesti o automobilima ili pretplatom na relevantne resurse za sajber bezbjednost,
- Potrebno je stvarati svijest o sajber bezbjednosti u modifikaciji automobila, gdje bi Modding zajednica trebala da bude oprezna kada koristi softverska podešavanja za svoju Mazda Connectivity Master Unit (CMU). Ove modifikacije bi potencijalno mogle da uvedu nove ranjivosti ako se ne provjere temeljno i testiraju na sigurnosne propuste,
- Vlasnici automobila koji nisu sigurni u vezi sa koracima koje treba preduzeti ili im je potrebna dalja pomoć, trebaju razmisliti o traženju pomoći od profesionalnog tehničara za automobile ili stručnjaka za sajber bezbjednost koji je specijalizovan za informaciono-zabavne sisteme u vozilu. Oni mogu pružiti smjernice prilagođene njihovim specifičnim potrebama i osigurati da Mazda automobil ostane zaštićen od ovih ranjivosti,
- Vlasnici vozila koji sumnjaju na bilo kakvu neuobičajenu aktivnost sa informaciono-zabavnim sistemom automobila, trebalo bi odmah to prijaviti proizvođaču ili nadležnim organima radi istrage. Dijeljenje takvih informacija može pomoći u identifikovanju obrazaca eksploatacije i razvijanju efikasnih protivmjera,
- Vlasnici Mazda automobila i drugih savremenih automobila bi trebalo da pregledaju svoju polisu auto osiguranja kako bi utvrdili da li pokriva incidente sajber bezbjednosti u vezi sa vozilom. Ako ne, razmisliti o dodavanju ove pokrivenosti kao dodatnog sloja zaštite od potencijalnih finansijskih gubitaka usljed hakovanja ili drugih zlonamjernih aktivnosti,
Prateći ove preporuke vlasnici paze na bezbjednost svojih Mazda automobila, što značajno može smanjiti rizik da se postane žrtva iskorišćavanja ovih ranjivosti. Neophodno je dati prioritet sajber bezbjednosti u našem sve povezanijem svetu, posebno kada su u pitanju vozila koja igraju vitalnu ulogu u našem svakodnevnom životu.