В Mazda Connect не исправлено 6 опасных уязвимостей
Главная » Новости

В Mazda Connect не исправлено 6 опасных уязвимостей

Яков Шпунт 11 Ноября 2024 - 17:20
...
В Mazda Connect не исправлено 6 опасных уязвимостей

Эксперты Trend Micro обнаружили несколько критических уязвимостей в информационно-развлекательном блоке Mazda Connect. Эксплуатация данных брешей позволяет получить полный контроль к сетям транспортных средств, что может создать угрозу безопасности движения.

Ошибки были найдены в Mazda Connectivity Master Unit от Visteon с программным обеспечением, разработанным Johnson Controls. Как отметили исследователи, ошибки не устранены даже в последней версии прошивки 74.00.324A.

Всего эксперты Trend Micro нашли 6 уязвимостей:

  1. CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код с помощью внедрения вредоносного ввода при подключении перехваченного устройства Apple.
  2. CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя их во входные пути файлов.
  3. CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости она позволяет злоумышленникам выполнять произвольные команды через несанкционированные пути к файлам.
  4. CVE-2024-8358: внедрение команд в UPDATES_ExtractFile — позволяет выполнять код путём внедрения команд в пути к файлам, используемым в процессе обновления.
  5. CVE-2024-8357: отсутствие корня доверия в App SoC — отсутствуют проверки безопасности в процессе загрузки, что позволяет злоумышленникам сохранять контроль над информационно-развлекательной системой после атаки.
  6. CVE-2024-8356: неподписанный код в VIP MCU — позволяет злоумышленникам загружать несанкционированную прошивку, потенциально предоставляя контроль над определёнными подсистемами автомобиля, включая двигатель, тормоза и трансмиссию.

Старший исследователь Trend Micro's Zero Day Initiative (ZDI) Дмитрий Янушкевич сообщил изданию BleepingComputer, что для эксплуатации данных уязвимостей необходим физический доступ к системе.

Потенциальному злоумышленнику потребуется подключиться к ней через USB, сама процедура атаки займет несколько минут. Особо Дмитрий Янушкевич обратил внимание на дилерские центры и станции техобслуживания, где злоумышленник может получить такой доступ и не вызвать подозрения.

Наиболее опасной эксперт ZDI назвал CVE-2024-8356, которая открывает широкий простор для автоугонщиков и вымогателей. Эта уязвимость позволяет получить доступ к ключевым системам автомобиля.

Следующая главная новость »
AM LiveРоссийские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Мошенники освоили тему разблокировки Roblox для краж с карт родителей
Яков Шпунт 09 Декабря 2025 - 13:09
Социальная инженерияМошенничествоОнлайн-мошенничествоСоответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрацииСоответствие требованиям регуляторов
Мошенники освоили тему разблокировки Roblox для краж с карт родителей

По России массово распространяется новая мошенническая схема, цель которой — получить доступ к платёжным картам пользователей. Поводом становится якобы необходимое списание небольшой суммы для «разблокировки» популярной игровой платформы Roblox. Поскольку схема основана исключительно на социальной инженерии и не требует технических навыков, её активно используют обычные аферисты.

Roblox перестал работать в России 3 декабря. Формальным основанием стали распространение запрещённой информации и высокая активность педофилов. Было несколько случаев, когда виртуальное «общение» переходило в реальные преступления.

При этом платформа остаётся чрезвычайно популярной. Российская аудитория Roblox — 24 млн уникальных пользователей — является третьей по численности в мире после США и Бразилии.

О новой схеме социальной инженерии, связанной с «восстановлением доступа» к Roblox, сетевой «Газете.Ру» рассказал заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев:

«Суть в том, что преступники предлагают “экстренное решение” — быструю разблокировку аккаунта, редкий предмет или набор внутриигровой валюты — за небольшую плату или даже бесплатно, но требуют данные карты “для проверки”.»

По словам эксперта, введя реквизиты, ребёнок не оплачивает условные 100 рублей, а фактически передаёт злоумышленникам полный удалённый доступ к банковскому счёту. После этого начинаются крупные списания.

Нередко аферисты просят использовать карты взрослых — родителей, бабушек, дедушек, старших братьев или сестёр. Введённые данные привязываются к контролируемому злоумышленниками платёжному сервису, и деньги тратятся до тех пор, пока карта не будет заблокирована.

Эксперт подчёркивает: схема полностью основана на социальной инженерии и не требует технических умений. Он рекомендует использовать для онлайн-игр отдельные карты с минимальными лимитами, а также уделять больше внимания финансовой грамотности детей и подростков.

AM LiveРоссийские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »
Появилась новая схема обмана учеников автошкол
Новость
Появилась новая схема обмана учеников автошкол
Правительство утвердило новые правила управления рунетом
Новость
Правительство утвердило новые правила управления рунетом
InfoWatch зарегистрировала технологию визуализации рабочего дня сотрудника
Новость
InfoWatch зарегистрировала технологию визуализации рабочего...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.