ช่องโหว่ของ Mazda Connect ทำรถเสี่ยงโดนแฮก

มีรายงานการค้นพบช่องโหว่หลายรายการของระบบ Mazda Connect ซึ่งมีอยู่ในรถยนต์หลายรุ่นรวมถึง Mazda 3 รุ่นปี 2014-2021 ที่เปิดโอกาสให้แฮกเกอร์ได้สิทธิระดับ Root แพร่มัลแวร์และรันโค้ดอันตรายได้ตามใจชอบ

ที่สำคัญคือปัญหาความปลอดภัยยังไม่ได้รับการแก้ไข และบางส่วนเป็นข้อบกพร่องในการใส่คำสั่งที่อาจใช้ประโยชน์เพื่อให้เข้าถึงเครือข่ายรถยนต์ได้โดยไม่จำกัด ซึ่งอาจส่งผลกระทบต่อการทำงานและความปลอดภัยของรถยนต์

โดยนักวิจัยพบข้อบกพร่องในตัว Connectivity Master Unit ของ Mazda Connect ผลิตโดย Visteon ซึ่งมีซอฟต์แวร์ที่พัฒนาโดย Johnson Controls ขณะเดียวกันพวกเขาก็ได้ตรวจสอบเฟิร์มแวร์เวอร์ชันล่าสุดเวอร์ชัน 74.00.324A แต่ไม่มีรายงานการตรวจพบช่องโหว่แต่อย่างใด

ในรายงาน Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่าปัญหาที่พบแตกต่างกันไป SQL injection และ command injection ที่อนุญาตให้ผู้โจมตีอัปโหลดเฟิร์มแวร์ที่ไม่ได้รับอนุญาต ซึ่งอาจให้สิทธิ์ในการควบคุมระบบย่อยของยานพาหนะบางระบบ รวมถึงการขาดการตรวจสอบความปลอดภัยในกระบวนการบูต ทำให้ผู้โจมตีสามารถควบคุมระบบอินโฟเทนเมนต์หลังการโจมตีได้ เป็นต้น

แม้จะมีข้อจำกัดนี้ ให้ข้อมูลว่าการเข้าถึงระบบของตัวรถนั้นทำได้ง่าย โดยเฉพาะในที่จอดรถ และระหว่างการให้บริการที่อู่ซ่อมหรือที่ตัวแทนจำหน่าย

ที่มา : bleepingcomputer