Abo
  • Services:
Anzeige
Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

In-Car-Entertainment: Mazda schließt drei Jahre alte Sicherheitslücke

Mazdas Entertainment-System hatte Sicherheitslücken.
Mazdas Entertainment-System hatte Sicherheitslücken. (Bild: Mazda)

Mazda hat eine Sicherheitslücke im eigenen In-Car-Entertainment-System nach drei Jahren geschlossen. Der Autobauer sieht darin kein Problem, Angriffe auf kritische Komponenten seien nicht möglich. Ein vor kurzem erschienenes Update soll das Problem beheben.

Der Autohersteller Mazda hat nach mehreren Jahren eine Sicherheitslücke geschlossen, die eine Modifikation des Entertainment-Systems über einen USB-Stick ermöglicht. Ist ein bestimmtes Skript auf dem Stick vorhanden, wird dieses vom Entertainment-System automatisch ausgeführt, nachdem der Stick eingesteckt wird. Bastler hatten unter Ausnutzung der Sicherheitslücke das Tool MZD-AIO-TI (Mazda All In One Tweaks Installer) entwickelt, außerdem lassen sich zahlreiche Unix-Befehle ausführen.

Anzeige

Nach Angaben des Hackers Jay Turla wurden die Probleme bereits im Jahr 2014 entdeckt, ein Firmware-Update von Mazda erfolgte jedoch erst vor kurzem. Turla selbst begann, seinen eigenen Mazda zu untersuchen, und dokumentiert die Ergebnisse seiner Arbeit in einem Github-Verzeichnis.

Mit einem entsprechend präparierten USB-Stick lasse sich fast beliebiger Code ausführen, als Beispiel führt Turla den Befehl uname -a aus, die entsprechende Ausgabe wird auf dem Entertainment-System angezeigt. Es soll ebenfalls möglich sein, den in früheren Firmware-Updates deaktivierten Support für SSH-Verbindungen wieder zu aktivieren. Eine Interaktion des Nutzers ist dabei nicht erforderlich, denkbar wäre also, einer Person einen USB-Stick mitzugeben, auf dem sich vermeintlich Musikdateien für die Autofahrt befinden.

Bastelsystem ist verfügbar

Andere Modder nutzen die Sicherheitslücken aus, um das Mazda-System nach eigenen Vorstellungen anzupassen. Dabei gibt es dann einen Vidoeplayer mit der Möglichkeit, lokale Dateien abzuspielen oder ein Screencapture des Onboard-Entertainment-Systems durchzuführen. Auch ein lokaler SSH-Server mit voreingestelltem, einheitlichem Passwort ist vorhanden. Das modifzierte System basiert auf dem Electron-Framework.

Mazda selbst geht nicht davon aus, dass die Probleme in dem System für bösartige Angriffe ausgenutzt werden können. In einem Statement bei Bleeping Computers teilt das Unternehmen mit: "Mazda Connect kontrolliert eine sehr begrenzte Zahl von Funktionen in Mazda-Fahrzeugen und kann nicht aus der Ferne über das WLAN-Signal erreicht werden." Der Zugriff über den USB-Stick könne also nur geringen Schaden anrichten. Zu den über Connect erreichbaren Funktionen gehört nach Angaben von Mazda Keyless Entry, die auf dem Active-Driving-Display angezeigten Informationen, etwa wenn der Spurwechselassistent aktiv ist, und andere. Ein Zugriff auf die Steuerung, Beschleunigung oder die Bremsen sei nicht möglich.

Das Mazda Connect-System ist in den Fahrzeugen mit den Nummern CX-3, CX-5, CX-7, CX-9, dem Mazda2, Mazda3, Mazda6 und dem Mazda MX-5 vorhanden.


eye home zur Startseite
ptepic 17. Jun 2017

Ließt eigentlich niemand die Artikel zu Ende? Beeinträchtigung von Anzeigen eines...

Hanson 16. Jun 2017

Habe es nun endlich auch im neuen Auto und finde das System eigentlich ganz gut. Der...

ArcherV 16. Jun 2017

Nein. Nur weil man ein Cabrio möchte muss man nicht jemand sein der "Fahrspaß" (aka...

Hypfer 16. Jun 2017

Wo genau ist jetzt das Problem? Wieso wurde das geschlossen? Das macht das Auto doch 100x...



Anzeige

Stellenmarkt
  1. Gentherm GmbH, Odelzhausen
  2. Power Service GmbH, Köln
  3. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  4. Landeshauptstadt München, München


Anzeige
Top-Angebote
  1. (u. a. Ghost Recon Wildlands 26,99€, Assasins Creed Origins 40,19€, For Honor 19,79€, Watch...
  2. 79,00€
  3. bei Alternate.de

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

  1. Re: Warum sind Ports aufs PCB gelötet?

    bombinho | 21.02. 23:59

  2. Re: Bald kommt UHD+

    Gladiac782 | 21.02. 23:59

  3. Re: Bitte endlich mehr 10Gbit ports am Mainboard

    bombinho | 21.02. 23:58

  4. Re: schlechter Artikel - völlig falsch interpretiert!

    marlborobluefresh | 21.02. 23:57

  5. Re: Einfach folgende News-Vertreiber blocken

    Dino13 | 21.02. 23:52


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel