近日，趨勢(shì)科技安全團(tuán)隊(duì)揭露，日本知名汽車制造商馬自達(dá)旗下多款車型的車機(jī)系統(tǒng)存在嚴(yán)重安全漏洞。這些漏洞的發(fā)現(xiàn)，對(duì)駕駛者及車輛安全構(gòu)成了不小的威脅。

受影響的車型包括2014至2021年款的Mazda 3等，且涉及特定系統(tǒng)版本為74.00.324A的車機(jī)。研究團(tuán)隊(duì)指出，黑客可能通過控制車主手機(jī)，進(jìn)而在車主將手機(jī)連接至車機(jī)系統(tǒng)時(shí)，利用漏洞以最高權(quán)限執(zhí)行惡意代碼。

詳細(xì)來說，揭露的漏洞包括以下幾項(xiàng)：

首先是CVE-2024-8355，這是一個(gè)存在于DeviceManager中的iAP序列號(hào)SQL注入漏洞，允許黑客通過連接的蘋果設(shè)備進(jìn)行SQL注入攻擊，進(jìn)而以root權(quán)限篡改數(shù)據(jù)庫，實(shí)現(xiàn)代碼的任意執(zhí)行。

其次，CVE-2024-8359、CVE-2024-8360及CVE-2024-8358這三個(gè)漏洞，可使攻擊者在CMU的更新過程中注入惡意指令，達(dá)到遠(yuǎn)程執(zhí)行代碼的目的。

再者，CVE-2024-8357漏洞涉及SoC驗(yàn)證不足，黑客可借此修改根文件系統(tǒng)，植入后門程序，或執(zhí)行任意代碼，而系統(tǒng)無法進(jìn)行有效驗(yàn)證。

最后，還有一個(gè)影響VIP MCU模塊的CVE-2024-8356漏洞。黑客可通過篡改更新文件，并在FAT32格式的USB存儲(chǔ)設(shè)備上創(chuàng)建特定文件來入侵車載網(wǎng)絡(luò)。

研究人員警告，這些漏洞的利用難度并不高。黑客只需制作一個(gè)特制的USB存儲(chǔ)設(shè)備，并將其插入車機(jī)系統(tǒng)，便能觸發(fā)漏洞利用過程。

隨著汽車數(shù)字化進(jìn)程的推進(jìn)，車輛安全問題日益凸顯。此次馬自達(dá)車機(jī)系統(tǒng)漏洞的發(fā)現(xiàn)，再次提醒了車主和制造商需對(duì)車輛安全保持高度警惕。車主應(yīng)及時(shí)關(guān)注并安裝官方提供的軟件更新，以降低潛在風(fēng)險(xiǎn)。