近日，趨勢(shì)科技安全團(tuán)隊(duì)揭露，日本知名汽車(chē)制造商馬自達(dá)旗下多款車(chē)型的車(chē)機(jī)系統(tǒng)存在嚴(yán)重安全漏洞。這些漏洞的發(fā)現(xiàn)，對(duì)駕駛者及車(chē)輛安全構(gòu)成了不小的威脅。

受影響的車(chē)型包括2014至2021年款的Mazda 3等，且涉及特定系統(tǒng)版本為74.00.324A的車(chē)機(jī)。研究團(tuán)隊(duì)指出，黑客可能通過(guò)控制車(chē)主手機(jī)，進(jìn)而在車(chē)主將手機(jī)連接至車(chē)機(jī)系統(tǒng)時(shí)，利用漏洞以最高權(quán)限執(zhí)行惡意代碼。

詳細(xì)來(lái)說(shuō)，揭露的漏洞包括以下幾項(xiàng)：

首先是CVE-2024-8355，這是一個(gè)存在于DeviceManager中的iAP序列號(hào)SQL注入漏洞，允許黑客通過(guò)連接的蘋(píng)果設(shè)備進(jìn)行SQL注入攻擊，進(jìn)而以root權(quán)限篡改數(shù)據(jù)庫(kù)，實(shí)現(xiàn)代碼的任意執(zhí)行。

其次，CVE-2024-8359、CVE-2024-8360及CVE-2024-8358這三個(gè)漏洞，可使攻擊者在CMU的更新過(guò)程中注入惡意指令，達(dá)到遠(yuǎn)程執(zhí)行代碼的目的。

再者，CVE-2024-8357漏洞涉及SoC驗(yàn)證不足，黑客可借此修改根文件系統(tǒng)，植入后門(mén)程序，或執(zhí)行任意代碼，而系統(tǒng)無(wú)法進(jìn)行有效驗(yàn)證。

最后，還有一個(gè)影響VIP MCU模塊的CVE-2024-8356漏洞。黑客可通過(guò)篡改更新文件，并在FAT32格式的USB存儲(chǔ)設(shè)備上創(chuàng)建特定文件來(lái)入侵車(chē)載網(wǎng)絡(luò)。

研究人員警告，這些漏洞的利用難度并不高。黑客只需制作一個(gè)特制的USB存儲(chǔ)設(shè)備，并將其插入車(chē)機(jī)系統(tǒng)，便能觸發(fā)漏洞利用過(guò)程。

隨著汽車(chē)數(shù)字化進(jìn)程的推進(jìn)，車(chē)輛安全問(wèn)題日益凸顯。此次馬自達(dá)車(chē)機(jī)系統(tǒng)漏洞的發(fā)現(xiàn)，再次提醒了車(chē)主和制造商需對(duì)車(chē)輛安全保持高度警惕。車(chē)主應(yīng)及時(shí)關(guān)注并安裝官方提供的軟件更新，以降低潛在風(fēng)險(xiǎn)。