Scoperte Gravi Falle di Sicurezza nei Sistemi di Infotainment di Mazda: Rischi Elevati per gli Automobilisti
Preoccupanti vulnerabilità nei sistemi di infotainment Mazda
Nell’ultimo periodo, gli esperti della Trend Micro Zero Day Initiative (ZDI) hanno identificato gravi falle di sicurezza nei sistemi di infotainment delle vetture Mazda, che potrebbero consentire agli hacker di eseguire codici arbitrari con privilegi elevati. I difetti rilevati risiedono principalmente nella Mazda Connectivity Master Unit, un componente prodotto da Visteon e basato su software sviluppato da Johnson Controls.
Il punto critico di queste vulnerabilità è il firmware versione 74.00.324A, anche se non presentano difetti noti ufficialmente. Tuttavia, i modder, ovvero gli appassionati che modificano il software del sistema, spesso sfruttano queste falle per aumentare la funzionalità del dispositivo. I tipi di vulnerabilità individuate variano da iniezioni SQL a iniezioni di comandi, fino all’esecuzione di codice non firmato, aprendo numerosi scenari di rischio per la sicurezza del veicolo.
Elenco delle Vulnerabilità Critiche
- CVE-2024-8355 – Attraverso l’iniezione SQL in DeviceManager, è possibile manipolare il database, creare file a piacimento e eseguire codici mediante l’inserzione di input maligni tramite un dispositivo Apple contraffatto.
- CVE-2024-8359 – Un’iniezione di comandi nel componente REFLASH_DDU_FindFile permette agli attaccanti di eseguire comandi arbitrari inserendo comandi nei percorsi dei file.
- CVE-2024-8360 – Similmente, la vulnerabilità in REFLASH_DDU_ExtractFile consente l’esecuzione di comandi arbitrari utilizzando i percorsi dei file.
- CVE-2024-8358 – Un’ulteriore iniezione di comando in UPDATES_ExtractFile autorizza l’esecuzione di comandi attraverso i percorsi di file utilizzati durante l’aggiornamento.
- CVE-2024-8357 – L’assenza di un root-of-trust efficace e controlli di sicurezza durante il processo di avvio permette agli aggressori di mantenere il controllo del sistema di infotainment anche dopo un attacco iniziale.
- CVE-2024-8356 – La possibilità di caricare firmware non ufficiale nell’MCU VIP facilita il controllo di vari sottosistemi del veicolo.
I veicoli esposti includono le Mazda 3 prodotte tra il 2014 e il 2021, oltre ad altri modelli del marchio. Secondo Dmitry Yanushkevich, ricercatore avanzato di ZDI, per sfruttare queste vulnerabilità è necessario un accesso fisico al sistema di infotainment, generalmente ottenibile mediante un dispositivo USB speciale. Il rischio di accesso non autorizzato da parte di malintenzionati è elevato, specialmente in luoghi come parcheggi o stazioni di servizio. Un attacco riuscito può risultare in una gamma di azioni dannose, dall’accesso non autorizzato agli autobus CAN fino al controllo dei dispositivi di sicurezza essenziali come i freni e il motore.
Non è ancora stato rilevato alcun intervento da parte di Mazda per risolvere queste criticità e non ci sono stati commenti ufficiali riguardo alle scoperte di ZDI.
Considerazioni Finali
Queste vulnerabilità sollevano preoccupazioni significative riguardo la sicurezza delle moderne tecnologie automobilistiche, che sono sempre più integrate e connesse. Il rischio associato a queste tecnologie va adeguatamente gestito con aggiornamenti regolari e controlli di sicurezza stringenti per proteggere gli utenti da possibili cyber attacchi. L’adozione di pratiche robuste di cybersecurity nel design e nella produzione dei veicoli diventa quindi indispensabile per prevenire future breccie di sicurezza.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.