Hackread a publié un article sur comment des hackers peuvent accéder au système interne de plusieurs modèles Mazda. Cet accès permet ensuite d’accéder aux apps et données internes. L’exploit peut être fait par une “simple” clé USB…
Au départ, le Zero Day Initiative (qui a publié une analyse complète des CVE) identifie plusieurs failles dans le système de divertissement des voitures de la marque, le fameux infotainement et particulièrement le Connectivity Master Unit qui est utilisé par de nombreux modèles du constructeur. Plus surprenant, l’affaire remonte en réalité à 2017.
Le Connectivity Master Unit n’est pas développé directement par Mazda mais par une société spécialisée, Visteon. Et les CVE identifiés ces derniers mois posent de réels problèmes de sécurité : injection SQL, injection de commandes, sécurité du Root contournée, codes non signés.
Le plus problématique est qu’une simple clé USB en FAT32 contenant une injection de commande peut contaminer le système, par exemple via une mise à jour malveillante.
Même si une attaque du système n’est pas accessible à tous les hackers, cela démontre aussi la fragilité des systèmes embarqués et que la moindre faiblesse d’un des systèmes peut avoir de graves conséquences.
Analyse des failles : https://www.zerodayinitiative.com/blog/2024/11/7/multiple-vulnerabilities-in-the-mazda-in-vehicle-infotainment-ivi-system
