Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

Gli Hacker possono prendere il controllo delle Mazda: ecco come!

Redazione RHC : 11 Novembre 2024 19:10

Le vulnerabilità senza patch nel sistema di infotainment dei veicoli Mazda consentono agli aggressori di eseguire codice arbitrario con diritti di root, hanno riferito gli esperti della Trend Micro Zero Day Initiative (ZDI) . 

Alcuni bug ti consentono di ottenere un accesso illimitato ai sistemi dell’auto, il che potrebbe potenzialmente comprometterne il funzionamento e la sicurezza. I ricercatori hanno scoperto delle vulnerabilità nella Mazda Connectivity Master Unit prodotta da Visteon, che è dotata di software sviluppato da Johnson Controls. Nella loro ricerca, gli esperti hanno studiato l’ultima versione del firmware (74.00.324A).

Sebbene la versione 74.00.324A non contenga ufficialmente vulnerabilità, esiste un’ampia comunità di modder che migliorano la funzionalità del sistema in vari modi. E molte di queste modifiche si basano sullo sfruttamento delle vulnerabilità.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    I bug scoperti da ZDI vanno dalle iniezioni SQL e iniezioni di comandi al codice non firmato:

    • CVE-2024-8355 – L’iniezione SQL in DeviceManager consente la manipolazione del database, la creazione arbitraria di file e l’esecuzione di codice inserendo input dannosi quando viene collegato un dispositivo Apple contraffatto;
    • CVE-2024-8359 L’inserimento di comandi in REFLASH_DDU_FindFile consente l’esecuzione di comandi arbitrari nel sistema di infotainment inserendo comandi nei percorsi dei file di input;
    • CVE-2024-8360 – L’inserimento di comandi in REFLASH_DDU_ExtractFile consente inoltre l’esecuzione di comandi arbitrari tramite percorsi di file;
    • CVE-2024-8358 – Un’altra iniezione di comando, questa volta in UPDATES_ExtractFile, consente l’esecuzione del comando mediante inserimento nei percorsi di file utilizzati nel processo di aggiornamento;
    • CVE-2024-8357 – La mancanza di root-of-trust nel SoC dell’app e di controlli di sicurezza durante il processo di avvio consente agli aggressori di mantenere il controllo del sistema di infotainment dopo l’attacco iniziale.
    • CVE-2024-8356 – Il codice non firmato nell’MCU VIP consente di caricare firmware di terze parti e assumere il controllo di vari sottosistemi del veicolo.

    È noto che i bug colpiscono le auto Mazda 3 prodotte dal 2014 al 2021, così come altri modelli del produttore. Come notato da Dmitry Yanushkevich, ricercatore senior sulle vulnerabilità presso ZDI, lo sfruttamento dei problemi elencati richiede l’accesso fisico al sistema di infotainment del veicolo. Pertanto, un utente malintenzionato può connettersi a un’auto utilizzando uno speciale dispositivo USB ed eseguire un attacco in pochi minuti.

    Il ricercatore scrive che spesso non è così difficile ottenere l’accesso fisico non autorizzato a un’auto: ciò può accadere in un parcheggio, durante il servizio in una stazione di servizio o in una concessionaria. Di conseguenza, l’hacking del sistema di infotainment di un’auto utilizzando i bug elencati può portare alla manipolazione del database, alla divulgazione di informazioni, alla creazione di file arbitrari, all’inserimento di comandi arbitrari, alla completa compromissione del sistema, al radicamento di un utente malintenzionato nel sistema ed all’esecuzione di codice arbitrario prima di caricare il sistema operativo.

    Si sottolinea separatamente che lo sfruttamento di CVE-2024-8356 consente l’installazione di una versione dannosa del firmware, che fornisce a un potenziale utente malintenzionato l’accesso diretto ai bus CAN e aiuta ad accedere alle unità di controllo del motore, dei freni, della trasmissione, e così via.

    “In generale, ciò consente a un utente malintenzionato di passare da un’applicazione SoC compromessa che esegue Linux a un MCU VIP installando una versione appositamente preparata del firmware e successivamente ottenendo l’accesso diretto ai bus CAN collegati”, spiega ZDI. I ricercatori scrivono inoltre che un attacco mirato può portare alla compromissione dei dispositivi collegati, alla negazione del servizio, al fallimento completo e persino all’estorsione.

    Attualmente, nessuna delle vulnerabilità è stata risolta e i rappresentanti Mazda non hanno ancora commentato la pubblicazione degli specialisti ZDI.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Hai la carta di credito in tasca? I Criminal hacker ringraziano!
    Di Redazione RHC - 16/08/2025

    Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...

    Google Chrome a tutta Privacy! Un nuovo blocco per gli script in modalità incognito
    Di Redazione RHC - 16/08/2025

    Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...

    Droni in missione potranno decidere in modo autonomo quali uomini uccidere?
    Di Redazione RHC - 15/08/2025

    Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...

    CrowdStrike Global Threat Report 2025: l’anno dell’avversario intraprendente
    Di Redazione RHC - 15/08/2025

    CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...

    Dopo il bucato, Figure 02 ora piega il bucato. Ma per ora dovrai continuare a farlo da solo
    Di Redazione RHC - 15/08/2025

    Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...