スポンサーリンク

【初代マツダコネクト】バージョン「74.00.324」でも脆弱性が存在しているそうです

マツダ全般
スポンサーリンク
- -- ---

初代マツダコネクトにおいて、バージョン「74.00.324」でも脆弱性が存在していると報じられていました。

情報元:Unpatched Mazda Connect bugs let hackers install persistent malware

情報元は「BLEEPINGCOMPUTER」です。
こちらに書かれている内容は以下の通り。

  • 初代マツダコネクトに複数の脆弱性が未だに存在しており、修正されていない
  • 研究者(トレンドマイクロの Zero Day Initiative)は、バージョン「74.00.324A」を分析して脆弱性を発見した
  • 下記の脆弱性を悪用するには車両のUSBに接続する必要がある

脆弱性の詳細は以下の通り。

  • CVE-2024-8355 : DeviceManager での SQL インジェクション – 攻撃者が偽装した Apple デバイスを接続する際に悪意のある入力を挿入することで、データベースを操作したりコードを実行したりできるようになります。
  • CVE-2024-8359 : REFLASH_DDU_FindFile のコマンド インジェクション – 攻撃者がファイル パス入力にコマンドを挿入することで、インフォテインメント システムで任意のコマンドを実行できるようになります。
  • CVE-2024-8360 : REFLASH_DDU_ExtractFile でのコマンドインジェクション – 前の欠陥と同様に、攻撃者はサニタイズされていないファイルパスを通じて任意の OS コマンドを実行できます。
  • CVE-2024-8358 : UPDATES_ExtractFile でのコマンド インジェクション – 更新プロセス中に使用されるファイル パスにコマンドを埋め込むことで、コマンド実行が可能になります。
  • CVE-2024-8357 : アプリ SoC に信頼のルートがない – ブート プロセスにセキュリティ チェックがないため、攻撃者は攻撃後もインフォテインメント システムの制御を維持できます。
  • CVE-2024-8356 : VIP MCU 内の未署名コード – 攻撃者が不正なファームウェアをアップロードし、特定の車両サブシステムを制御できるようになる可能性があります。

初代マツダコネクトの脆弱性はv74になっても解消はされていないそうです。今は大半のモデルが新世代マツダコネクトに移行しているのの、日本でも一部のモデル、海外(東南アジア地域)でも多くのモデルが初代マツダコネクトを搭載しています。

マツダは初代マツダコネクトの更新をすでに止めてしまっていますので、もう根本的な解決は「初代マツダコネクトへ移行」しかないのかもしれません。

タイトルとURLをコピーしました