Abo
  • Services:
Anzeige
Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

In-Car-Entertainment: Mazda schließt drei Jahre alte Sicherheitslücke

Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

Mazda hat eine Sicherheitslücke im eigenen In-Car-Entertainment-System nach drei Jahren geschlossen. Der Autobauer sieht darin kein Problem, Angriffe auf kritische Komponenten seien nicht möglich. Ein vor kurzem erschienenes Update soll das Problem beheben.

Der Autohersteller Mazda hat nach mehreren Jahren eine Sicherheitslücke geschlossen, die eine Modifikation des Entertainment-Systems über einen USB-Stick ermöglicht. Ist ein bestimmtes Skript auf dem Stick vorhanden, wird dieses vom Entertainment-System automatisch ausgeführt, nachdem der Stick eingesteckt wird. Bastler hatten unter Ausnutzung der Sicherheitslücke das Tool MZD-AIO-TI (Mazda All In One Tweaks Installer) entwickelt, außerdem lassen sich zahlreiche Unix-Befehle ausführen.

Anzeige

Nach Angaben des Hackers Jay Turla wurden die Probleme bereits im Jahr 2014 entdeckt, ein Firmware-Update von Mazda erfolgte jedoch erst vor kurzem. Turla selbst begann, seinen eigenen Mazda zu untersuchen, und dokumentiert die Ergebnisse seiner Arbeit in einem Github-Verzeichnis.

Mit einem entsprechend präparierten USB-Stick lasse sich fast beliebiger Code ausführen, als Beispiel führt Turla den Befehl uname -a aus, die entsprechende Ausgabe wird auf dem Entertainment-System angezeigt. Es soll ebenfalls möglich sein, den in früheren Firmware-Updates deaktivierten Support für SSH-Verbindungen wieder zu aktivieren. Eine Interaktion des Nutzers ist dabei nicht erforderlich, denkbar wäre also, einer Person einen USB-Stick mitzugeben, auf dem sich vermeintlich Musikdateien für die Autofahrt befinden.

Bastelsystem ist verfügbar

Andere Modder nutzen die Sicherheitslücken aus, um das Mazda-System nach eigenen Vorstellungen anzupassen. Dabei gibt es dann einen Vidoeplayer mit der Möglichkeit, lokale Dateien abzuspielen oder ein Screencapture des Onboard-Entertainment-Systems durchzuführen. Auch ein lokaler SSH-Server mit voreingestelltem, einheitlichem Passwort ist vorhanden. Das modifzierte System basiert auf dem Electron-Framework.

Mazda selbst geht nicht davon aus, dass die Probleme in dem System für bösartige Angriffe ausgenutzt werden können. In einem Statement bei Bleeping Computers teilt das Unternehmen mit: "Mazda Connect kontrolliert eine sehr begrenzte Zahl von Funktionen in Mazda-Fahrzeugen und kann nicht aus der Ferne über das WLAN-Signal erreicht werden." Der Zugriff über den USB-Stick könne also nur geringen Schaden anrichten. Zu den über Connect erreichbaren Funktionen gehört nach Angaben von Mazda Keyless Entry, die auf dem Active-Driving-Display angezeigten Informationen, etwa wenn der Spurwechselassistent aktiv ist, und andere. Ein Zugriff auf die Steuerung, Beschleunigung oder die Bremsen sei nicht möglich.

Das Mazda Connect-System ist in den Fahrzeugen mit den Nummern CX-3, CX-5, CX-7, CX-9, dem Mazda2, Mazda3, Mazda6 und dem Mazda MX-5 vorhanden.


eye home zur Startseite
ptepic 17. Jun 2017

Ließt eigentlich niemand die Artikel zu Ende? Beeinträchtigung von Anzeigen eines...

Hanson 16. Jun 2017

Habe es nun endlich auch im neuen Auto und finde das System eigentlich ganz gut. Der...

ArcherV 16. Jun 2017

Nein. Nur weil man ein Cabrio möchte muss man nicht jemand sein der "Fahrspaß" (aka...

Hypfer 16. Jun 2017

Wo genau ist jetzt das Problem? Wieso wurde das geschlossen? Das macht das Auto doch 100x...



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Dataport, Altenholz bei Kiel, Hamburg
  3. ZytoService Deutschland GmbH, Hamburg
  4. SYNLAB Holding Deutschland GmbH, München, Augsburg


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 189,99€
  3. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: common business

    Asthania | 08:19

  2. In der Praxis: Alles über die Server von Skype

    delphi | 06:16

  3. Re: Unity weiter nutzen

    ve2000 | 04:56

  4. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 04:44

  5. Re: Unverschlüsselte Grundversorgung

    teenriot* | 04:41


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel