El fabricante de soluciones de ciberseguridad Trend Micro ha advertido sobre mútliples vulnerabilidades encontradas en el sistema de infoentretenimiento Mazda Connect, propio de los vehículos del fabricante de coches japonés.
Estas brechas de seguridad facilitarían a los actores de amenazas ejecutar código con privilegios de root, según ha podido constatar la Zero Day Initiative de la compañía de seguridad.
Los piratas informáticos tendrían la capacidad de tomar el control de este sistema simplemente utilizando un USB con formato FAT32, donde el nombre contendrá los comandos del sistema operativo que se ejecutarán, ha señalado el investigador Dmitry Janushkevich. Para ello, se necesitan unos minutos de acceso físico para conectar el pendrive.
ZDI halló media docena de vulnerabilidades en el sistema Connectivity Master Unit del sistema. Las fallas afectarían a la última versión del software y por el momento continúan sin parchearse.
“Se han descubierto múltiples vulnerabilidades en el sistema de la unidad maestra de conectividad (CMU) de Mazda Connect instalado en varios modelos de automóviles, como el Mazda 3 del año modelo 2014-2021. Como en tantos otros casos, estas vulnerabilidades se deben a una desinfección insuficiente al manejar la información proporcionada por el atacante”, puede leerse en el aviso.
“Un atacante físicamente presente podría explotar estas vulnerabilidades conectando un dispositivo USB especialmente diseñado, como un iPod o un dispositivo de almacenamiento masivo, al sistema de destino. La explotación exitosa de algunas de estas vulnerabilidades da como resultado la ejecución de código arbitrario con privilegios de root”, añaden.
Situaciones con mayor riesgo
Los vehículos se han mostrado como más vulnerables durante los viajes compartidos, el servicio de valet parking o las visitas a centros de servicio no autorizados.
En el caso de producirse una explotación exitosa se podrían incluso abrir las puertas a los ataques de ransomware.
Janushkevich asegura que incluso un producto automotriz muy maduro con un largo historial de correcciones de seguridad podría resultar altamente vulnerable, plagado de errores de programación y fallas de diseño de seguridad.