• IT-Karriere:
  • Services:

In-Car-Entertainment: Mazda schließt drei Jahre alte Sicherheitslücke

Mazda hat eine Sicherheitslücke im eigenen In-Car-Entertainment-System nach drei Jahren geschlossen. Der Autobauer sieht darin kein Problem, Angriffe auf kritische Komponenten seien nicht möglich. Ein vor kurzem erschienenes Update soll das Problem beheben.

Artikel veröffentlicht am ,
Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

Der Autohersteller Mazda hat nach mehreren Jahren eine Sicherheitslücke geschlossen, die eine Modifikation des Entertainment-Systems über einen USB-Stick ermöglicht. Ist ein bestimmtes Skript auf dem Stick vorhanden, wird dieses vom Entertainment-System automatisch ausgeführt, nachdem der Stick eingesteckt wird. Bastler hatten unter Ausnutzung der Sicherheitslücke das Tool MZD-AIO-TI (Mazda All In One Tweaks Installer) entwickelt, außerdem lassen sich zahlreiche Unix-Befehle ausführen.

Stellenmarkt
  1. BARMER, Wuppertal
  2. SySS GmbH, Tübingen

Nach Angaben des Hackers Jay Turla wurden die Probleme bereits im Jahr 2014 entdeckt, ein Firmware-Update von Mazda erfolgte jedoch erst vor kurzem. Turla selbst begann, seinen eigenen Mazda zu untersuchen, und dokumentiert die Ergebnisse seiner Arbeit in einem Github-Verzeichnis.

Mit einem entsprechend präparierten USB-Stick lasse sich fast beliebiger Code ausführen, als Beispiel führt Turla den Befehl uname -a aus, die entsprechende Ausgabe wird auf dem Entertainment-System angezeigt. Es soll ebenfalls möglich sein, den in früheren Firmware-Updates deaktivierten Support für SSH-Verbindungen wieder zu aktivieren. Eine Interaktion des Nutzers ist dabei nicht erforderlich, denkbar wäre also, einer Person einen USB-Stick mitzugeben, auf dem sich vermeintlich Musikdateien für die Autofahrt befinden.

Bastelsystem ist verfügbar

Andere Modder nutzen die Sicherheitslücken aus, um das Mazda-System nach eigenen Vorstellungen anzupassen. Dabei gibt es dann einen Vidoeplayer mit der Möglichkeit, lokale Dateien abzuspielen oder ein Screencapture des Onboard-Entertainment-Systems durchzuführen. Auch ein lokaler SSH-Server mit voreingestelltem, einheitlichem Passwort ist vorhanden. Das modifzierte System basiert auf dem Electron-Framework.

Mazda selbst geht nicht davon aus, dass die Probleme in dem System für bösartige Angriffe ausgenutzt werden können. In einem Statement bei Bleeping Computers teilt das Unternehmen mit: "Mazda Connect kontrolliert eine sehr begrenzte Zahl von Funktionen in Mazda-Fahrzeugen und kann nicht aus der Ferne über das WLAN-Signal erreicht werden." Der Zugriff über den USB-Stick könne also nur geringen Schaden anrichten. Zu den über Connect erreichbaren Funktionen gehört nach Angaben von Mazda Keyless Entry, die auf dem Active-Driving-Display angezeigten Informationen, etwa wenn der Spurwechselassistent aktiv ist, und andere. Ein Zugriff auf die Steuerung, Beschleunigung oder die Bremsen sei nicht möglich.

Das Mazda Connect-System ist in den Fahrzeugen mit den Nummern CX-3, CX-5, CX-7, CX-9, dem Mazda2, Mazda3, Mazda6 und dem Mazda MX-5 vorhanden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-53%) 13,99€
  2. 14,99€
  3. 39,99€

ptepic 17. Jun 2017

Ließt eigentlich niemand die Artikel zu Ende? Beeinträchtigung von Anzeigen eines...

Hanson 16. Jun 2017

Habe es nun endlich auch im neuen Auto und finde das System eigentlich ganz gut. Der...

ArcherV 16. Jun 2017

Nein. Nur weil man ein Cabrio möchte muss man nicht jemand sein der "Fahrspaß" (aka...

Hypfer 16. Jun 2017

Wo genau ist jetzt das Problem? Wieso wurde das geschlossen? Das macht das Auto doch 100x...


Folgen Sie uns
       


Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /