Mazda araç içi bilgi-eğlence (IVI) sistemindeki yama yapılmamış altı güvenlik açığı, basit bir USB ile birkaç dakika içinde istismar edilebilir ve bunlardan birinin araç güvenliği açısından meşru sonuçları vardır.
Günümüzde arabalar yalnızca tekerlekli bilgisayarlardır ve IVI’lar onların kullanıcı arayüzüdür. Son yıllarda Mazda araçlarının çoğunda (Mazda3 ve CX-3, 5 ve 9 gibi) IVI, Michigan merkezli Visteon Corporation tarafından geliştirilen Mazda Connect Connectivity Master Unit (CMU) ile üretilmiştir. CMU, çeşitli bağlantı hizmetlerine olanak tanıyan temel bir donanım bileşenidir: akıllı telefon entegrasyonu, Wi-Fi erişim noktası ve çeşitli uzaktan izleme ve kontrol özellikleri.
Trend Micro’nun Sıfır Gün Girişimi (ZDI) aracılığıyla yapılan son araştırmada yarım düzine ortaya çıktı Mazda IVI’daki güvenlik açıkları. Bunlardan birkaçı tam sistem güvenliğinin aşılmasına ve çeşitli hassas verilere erişime olanak sağlar. Özel bir not, bir saldırganın aracın yönüne dönmesini sağlayabilir. Denetleyici Alanı Ağı (CAN) veri yolu – çeşitli bileşen parçalarını birbirine bağlayan merkezi sinir sistemi.
Henüz hiçbir güvenlik açığına Ortak Güvenlik Açığı Puanlama Sistemi’ne (CVSS) göre bir değer atanmadı. Bu yazının yazıldığı an itibariyle hepsi yamasız durumda. Artı tarafta: Hepsi, bir saldırganın fiziksel olarak kötü amaçlı bir USB’yi orta konsola yerleştirmesini gerektiriyor. Bir araba hırsızı ya da muhtemelen bir vale ya da satıcı tarafından gerçekleştirilen böyle bir senaryo, bugüne kadar gerçek dünyada duyulmamış bir şey.
Dark Reading, bu hikaye hakkında daha fazla yorum yapmak için Visteon’a ulaştı.
6 Mazda IVI Güvenlik Hatası
Güvenlik açıklarından üçü (CVE-2024-8358, CVE-2024-8359 ve CVE-2024-8360), yazılım güncellemeleri sırasında belirli dosyaları bulmak ve çıkarmak için kullanılan işlevleri hedef alıyor. Sağlanan dosya yolu temizlenmediğinden, bir saldırgan sistemin kök düzeyinde yürütülen kendi kötü amaçlı enjeksiyonuyla devreye girebilir. Özel olarak hazırlanmış bir komutla, bu tek adımlı hack, tüm sistemin ele geçirilmesini kolaylaştırabilir.
Bu kedinin derisini yüzmenin bir başka yolu da CMU’nun Linux çalıştıran Çip Üzerindeki Sistemini (SoC) etkileyen CVE-2024-8357’den yararlanmak olacaktır. SoC’nin önyükleme sürecinde herhangi bir kimlik doğrulaması yoktur; bu nedenle kod yürütme yeteneğine sahip bir saldırgan, dosyaları manipüle etme, yeniden başlatma yoluyla kalıcılık oluşturma ve sistem başlatılmadan önce bile sistem üzerinde kontrol kurma avantajından yararlanabilir.
Mazda IVI; Kaynak: Trend Micro’nun ZDI’sı
CVE-2024-8355 ilk bakışta diğerlerinden biraz farklı görünebilir ancak gerçekte bunun altında yatan aynı sorundan kaynaklanmaktadır: giriş verilerinin temizlenmemesi.
Bir Apple cihazıyla bağlantı kurmak için CMU, cihazın seri numarasını isteyecektir. Bu değere inceleme uygulanmadığından, sahte bir cihaz bunun yerine özel hazırlanmış SQL kodu gönderebilir. Sistemin DeviceManager’ı bu kodu kök seviyesinde çalıştırarak her türlü kötü amaçlı sonucu mümkün kılar: veritabanının açığa çıkması, rastgele dosya oluşturulması vb.
Son fakat kesinlikle en önemlisi, CMU yazılım güncelleme işlemi sırasında eksik bir doğrulama olan CVE-2024-8356’dır. Ancak bu, birimin diğer işlemcisi olan Doğrulama IP Mikrodenetleyici Birimi’ni (VIP MCU) etkiler. VIP MCU, güvenlik amacıyla SoC’den ayrı olacak şekilde tasarlanmıştır çünkü işletim sistemini çalıştırmak yerine aracın CAN veriyoluna bağlanır. CAN veri yolu da aracın geri kalanını birbirine bağlar: klima kontrolünden motor ve hava yastıklarına kadar her şey. ZDI, tahrif edilmiş bir cihaz yazılımı görüntüsüyle SoC’yi atlayarak VIP MCU’yu yönetebileceğinizi ve oradan CAN veriyoluna ulaşabileceğinizi gösterdi.
Ciddi Ama Beklenmedik Sonuçlar
ZDI tehdit farkındalığı başkanı Dustin Childs, “Aslında bir saldırganın CAN veriyoluna erişim sağladıktan sonra ne yapabileceğini tahmin etmek zor” diyor. “CAN veri yolu aracın sinir sistemi görevi gördüğünden, bir tehdit aktörü CAN veri yolu ile etkileşime giren elektronik kontrol ünitelerini (ECU’lar) veya bileşenleri potansiyel olarak etkileyebilir.” Tercüme: Saldırganlar aracın akla gelebilecek hemen hemen her parçasını tahrip edebilir.
“En kötü senaryo, bir saldırganın aracın sürüş özelliklerini etkilemesi ve çalışmasını güvensiz hale getirmesidir” diye ekliyor.
Yine de tehdit önemsizdir. Araştırmacıların gösterdiği tüm istismarlara rağmen, gerçek suçlular hâlâ tutarlı bir şekilde şu eski denenmiş ve doğrulanmış uzlaşma yöntemlerine bağlı kalıyor: çalıntı anahtarlar; açılmış bir elbise askısı pencere ile kapı çerçevesi arasına ustalıkla yerleştirilmişti; ya da bir taş, bir pencere ve iyi bir beyzbol atışı.
Childs, “Bu noktada gerçek dünyaya etkisi çok fazla yok” diye itiraf ediyor. “Ancak arabalar daha bağlantılı hale geldikçe, Uzaktan sömürü daha gerçekçi hale geliyor. Son Pwn2Own Automotive’de Synacktiv ekibi Tesla Model 3’ün modeminden yararlanıldı Aracın yerleşik sistemlerine ulaşmak ve onlarla etkileşime geçmek için havadan. Aracın uzaktan tamamen ele geçirilmesinin gerçek bir olasılığa dönüşmesi an meselesi.”
Şunları ekliyor: “Bu nedenle üreticiler her bir bileşenin güvenliğini sağlamalı ve diğer modüllerin savunmasına güvenmemelidir. Bir araç, her mesajın ele geçirilmiş bir kaynaktan gelebileceğini varsayan çok katmanlı bir koruma sistemine sahip olmalıdır. Şimdiki soruna gelecekte tepki vermek o kadar kolay olacaktır.”