In-Car-Entertainment: Mazda schließt drei Jahre alte Sicherheitslücke

Mazda hat eine Sicherheitslücke im eigenen In-Car-Entertainment-System nach drei Jahren geschlossen. Der Autobauer sieht darin kein Problem, Angriffe auf kritische Komponenten seien nicht möglich. Ein vor kurzem erschienenes Update soll das Problem beheben.

Artikel veröffentlicht am ,
Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

Der Autohersteller Mazda hat nach mehreren Jahren eine Sicherheitslücke geschlossen, die eine Modifikation des Entertainment-Systems über einen USB-Stick ermöglicht. Ist ein bestimmtes Skript auf dem Stick vorhanden, wird dieses vom Entertainment-System automatisch ausgeführt, nachdem der Stick eingesteckt wird. Bastler hatten unter Ausnutzung der Sicherheitslücke das Tool MZD-AIO-TI (Mazda All In One Tweaks Installer) entwickelt, außerdem lassen sich zahlreiche Unix-Befehle ausführen.

Stellenmarkt
  1. Business Analyst*in Geschäftsprozessmanagement / Business Continuity Manager*in (w/m/d)
    Landeshauptstadt München, München (Home-Office möglich)
  2. Manager Engineering (w/m/d) - CAD Applications
    J.M. Voith SE & Co. KG, Heidenheim
Detailsuche

Nach Angaben des Hackers Jay Turla wurden die Probleme bereits im Jahr 2014 entdeckt, ein Firmware-Update von Mazda erfolgte jedoch erst vor kurzem. Turla selbst begann, seinen eigenen Mazda zu untersuchen, und dokumentiert die Ergebnisse seiner Arbeit in einem Github-Verzeichnis.

Mit einem entsprechend präparierten USB-Stick lasse sich fast beliebiger Code ausführen, als Beispiel führt Turla den Befehl uname -a aus, die entsprechende Ausgabe wird auf dem Entertainment-System angezeigt. Es soll ebenfalls möglich sein, den in früheren Firmware-Updates deaktivierten Support für SSH-Verbindungen wieder zu aktivieren. Eine Interaktion des Nutzers ist dabei nicht erforderlich, denkbar wäre also, einer Person einen USB-Stick mitzugeben, auf dem sich vermeintlich Musikdateien für die Autofahrt befinden.

Bastelsystem ist verfügbar

Andere Modder nutzen die Sicherheitslücken aus, um das Mazda-System nach eigenen Vorstellungen anzupassen. Dabei gibt es dann einen Vidoeplayer mit der Möglichkeit, lokale Dateien abzuspielen oder ein Screencapture des Onboard-Entertainment-Systems durchzuführen. Auch ein lokaler SSH-Server mit voreingestelltem, einheitlichem Passwort ist vorhanden. Das modifzierte System basiert auf dem Electron-Framework.

Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    17.02.2023, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
Weitere IT-Trainings

Mazda selbst geht nicht davon aus, dass die Probleme in dem System für bösartige Angriffe ausgenutzt werden können. In einem Statement bei Bleeping Computers teilt das Unternehmen mit: "Mazda Connect kontrolliert eine sehr begrenzte Zahl von Funktionen in Mazda-Fahrzeugen und kann nicht aus der Ferne über das WLAN-Signal erreicht werden." Der Zugriff über den USB-Stick könne also nur geringen Schaden anrichten. Zu den über Connect erreichbaren Funktionen gehört nach Angaben von Mazda Keyless Entry, die auf dem Active-Driving-Display angezeigten Informationen, etwa wenn der Spurwechselassistent aktiv ist, und andere. Ein Zugriff auf die Steuerung, Beschleunigung oder die Bremsen sei nicht möglich.

Das Mazda Connect-System ist in den Fahrzeugen mit den Nummern CX-3, CX-5, CX-7, CX-9, dem Mazda2, Mazda3, Mazda6 und dem Mazda MX-5 vorhanden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ptepic 17. Jun 2017

Ließt eigentlich niemand die Artikel zu Ende? Beeinträchtigung von Anzeigen eines...

Hanson 16. Jun 2017

Habe es nun endlich auch im neuen Auto und finde das System eigentlich ganz gut. Der...

ArcherV 16. Jun 2017

Nein. Nur weil man ein Cabrio möchte muss man nicht jemand sein der "Fahrspaß" (aka...

Hypfer 16. Jun 2017

Wo genau ist jetzt das Problem? Wieso wurde das geschlossen? Das macht das Auto doch 100x...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /