В Mazda Connect не исправлено 6 опасных уязвимостей

В Mazda Connect не исправлено 6 опасных уязвимостей

В Mazda Connect не исправлено 6 опасных уязвимостей

Эксперты Trend Micro обнаружили несколько критических уязвимостей в информационно-развлекательном блоке Mazda Connect. Эксплуатация данных брешей позволяет получить полный контроль к сетям транспортных средств, что может создать угрозу безопасности движения.

Ошибки были найдены в Mazda Connectivity Master Unit от Visteon с программным обеспечением, разработанным Johnson Controls. Как отметили исследователи, ошибки не устранены даже в последней версии прошивки 74.00.324A.

Всего эксперты Trend Micro нашли 6 уязвимостей:

  1. CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код с помощью внедрения вредоносного ввода при подключении перехваченного устройства Apple.
  2. CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя их во входные пути файлов.
  3. CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости она позволяет злоумышленникам выполнять произвольные команды через несанкционированные пути к файлам.
  4. CVE-2024-8358: внедрение команд в UPDATES_ExtractFile — позволяет выполнять код путём внедрения команд в пути к файлам, используемым в процессе обновления.
  5. CVE-2024-8357: отсутствие корня доверия в App SoC — отсутствуют проверки безопасности в процессе загрузки, что позволяет злоумышленникам сохранять контроль над информационно-развлекательной системой после атаки.
  6. CVE-2024-8356: неподписанный код в VIP MCU — позволяет злоумышленникам загружать несанкционированную прошивку, потенциально предоставляя контроль над определёнными подсистемами автомобиля, включая двигатель, тормоза и трансмиссию.

Старший исследователь Trend Micro's Zero Day Initiative (ZDI) Дмитрий Янушкевич сообщил изданию BleepingComputer, что для эксплуатации данных уязвимостей необходим физический доступ к системе.

Потенциальному злоумышленнику потребуется подключиться к ней через USB, сама процедура атаки займет несколько минут. Особо Дмитрий Янушкевич обратил внимание на дилерские центры и станции техобслуживания, где злоумышленник может получить такой доступ и не вызвать подозрения.

Наиболее опасной эксперт ZDI назвал CVE-2024-8356, которая открывает широкий простор для автоугонщиков и вымогателей. Эта уязвимость позволяет получить доступ к ключевым системам автомобиля.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Каждый шестой попадался на уловки телефонных мошенников

Как показал опрос SuperJob, каждый шестой россиянин становился жертвой мошенников, теряя деньги или имущество. Причем почти треть попадалась на уловки злоумышленников как минимум дважды.

В опросе приняли участие 1600 человек старше 18 лет из 374 населенных пунктов. Исследование проводилось с 18 по 21 января 2025 года.

Как показали результаты, 17% опрошенных признались, что отдавали мошенникам деньги или имущество. Причем 12% делали это один раз, 5% — два и более раза. Среди обеспеченных россиян с доходом от 100 тыс. рублей в месяц становился жертвой мошенников хотя бы раз каждый пятый.

Каждый двадцатый опрошенный отметил, что звонки от мошенников поступают им ежедневно. Практически каждому четвертому (23%) звонят несколько раз в неделю, столько же принимают злонамеренные звонки несколько раз в месяц. Только каждый седьмой участник опроса ни разу не сталкивался со звонками от мошенников.

По словам участников опроса, мошенники при звонках представляются сотрудниками операторов связи, банков, правоохранительных органов (полиции, ФСБ, прокуратуры), Госуслуг, Почты России, ресурсоснабжающих организаций (энергосбытовых и тому подобных).

В Москве Департамент информационных технологий правительства города начал публичное тестирование инструмента защиты от мошеннических звонков с использованием искусственного интеллекта. Заявлено в том числе выявление применения технологий дипфейк, распространение которых активно растет.

По оценкам заместителя председателя правления Сбербанка Станислава Кузнецова, по итогам 2024 года ущерб от деятельности мошенников превысил 1 трлн рублей. При этом объем похищенного составил 250 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru