图灵汇官网

图灵汇11月10日消息显示，趋势科技最近发现马自达一些车型的车机系统存在多个严重漏洞，可能会让黑客远程操控系统，对驾驶人构成安全隐患。

相关车型涵盖2014至2021年生产的马自达3系列，受影响的系统版本为74.00.324A。黑客若能控制用户的手机，并将其当作USB设备连接到车机系统，就能利用这些漏洞获取最高权限，运行任意代码。这可能导致车联服务被干扰、勒索软件被安装、车机系统崩溃，甚至威胁行车安全。

趋势科技具体列出了几个重要漏洞：

• CVE-2024-8355：DeviceManager里iAP序列号的SQL注入漏洞。黑客经由连接苹果设备进行SQL注入操作，可获得最高权限，修改数据库内容，随意读取或执行代码。
• CVE-2024-8359、CVE-2024-8360和CVE-2024-8358：这些漏洞允许攻击者向CMU的更新模块插入任意命令，实现远程代码执行。
• CVE-2024-8357：SoC验证漏洞。由于SoC未检查启动代码，黑客能够秘密更改根文件系统，植入后门程序，甚至执行任意代码。
• CVE-2024-8356：影响独立模块VIP MCU的漏洞。黑客若篡改更新文件，将恶意镜像文件写入VIP MCU，就能入侵汽车的CAN/LIN控制网络，危害车辆整体安全。

研究团队提到，这些漏洞的利用难度不高。黑客只需在FAT32格式的USB硬盘上创建名为“.up”的文件，CMU会将其视为更新文件并执行多种恶意指令。借助这些漏洞，黑客能够通过恶意MCU固件操控车载网络，直接影响车辆的操作和安全性。