エンジニアは、インフォテインメントシステムを破壊するプロセスを自動化するスクリプトを公開しました。

新世代のインフォテインメントシステム「Mazda MZD Connect」を装備したマツダ車はUSBフラッシュをダッシュボードに接続するだけで、ハッキングすることができます。脆弱性は、2014年に知られるようになり、それ以来、、インフォテインメントシステムのカスタマイズ、新しい設定やアプリケーションのインストールのために広くマツダの所有者によって使用されています。Bleepingコンピュータ社によると、エンジニア情報セキュリティ会社Bugcrowd社の Dzhey Turla氏は、マツダのインフォテインメントシステムをハッキングするプロセスを自動化するmazda_getInfoプロジェクトを立ち上げました。Turla氏は車を買った後、プロジェクトの作業を開始しました。 「私はただ、私の車の可能な攻撃ベクトルを見つけたかった」とエンジニアが言いました。

先週Turla氏はGitHubのmazda_getInfo上にソースコードを公開しました。このプロジェクトは、誰もが「フラッシュカード」へスクリプトのセットをコピーし、マツダのダッシュボードに接続し、MZD Connectのファームウェアに悪意のあるコードを実行することができます。テスト中に、エンジニアは、ダッシュボード上にテキストを印字するような単純な攻撃を実現しました。MZD ConnectはUNIXベースに基づいているため、誰でも悪質なスクリプトを記述し、より深刻な攻撃を行うことができます。

Turla氏が開発したスクリプト攻撃能力のあるUSBフラッシュドをダッシュボードに接続した後、ユーザーの関与なしに自動的に実行されます。しかし、攻撃はエンジン動作中にのみ実行することができます。すなわち、インフォテインメントシステムの脆弱性によって、車を起動し、盗むことはできません。しかし、問題を過小評価してはいけません。エンジニアによると、攻撃者は、脆弱性を悪用し、マツダ車にボットネットを作成したり、リモート・アクセス用のトロイの木馬をインストールすることができると述べました。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida