E安全6月15日訊 近日，有馬自達車主發現，僅靠插入一個裝有特定代碼的U盤就能黑進馬自達悅聯車載系統（MZD Connect）。

不過如果瀏覽馬自達資訊理論壇Mazda3Revoloution，就會發現這個問題早在3年前就曾出現過，研究表明，市面上已經出現了名為「馬自達一體調整安裝工具」（MZD-AIO-TI）的黑客工具。MZD-AIO-TI允許用戶修改該系統的設置，安裝應用程序，並修改原始配置。

本文系E安全獨家編譯報道

一位汽車系統研究人員傑伊·圖拉利用MZD-AIO-TI的知識和其它工具設計了一款新工具「Mazda-getInfo」

Mazda_GetInfo

簡介

Mazda-getInfo是一款獨特的工具，其允許用戶通過一個U盤感染馬自達悅聯繫統。

本文系E安全獨家編譯報道

圖拉接受外媒採訪時表示，他在參加Car Hacking Village（處理此類系統的會議）會議後受到啟發，從而開始研究該項目。之後，他在GitHub上公開代碼，向任何想要嘗試該技術的人開放代碼。一旦此代碼進入悅聯繫統，用戶可以輕易發起攻擊。

然而，這款惡意軟體能被用來犯罪，而不僅僅是修改設置那麼簡單，由此可見源代碼的重要性。

運作方式

基本上，用戶只需複製GitHub上公開的一段代碼，並將其載入到U盤上，之後用戶只需將U盤插入到儀錶板。除此之外整個過程是自動進行的，不需要用戶干預。

儘管如此，這種方式仍存在一定的局限性，因為這要求汽車發動機必須處於運行狀態，或必須開啟Accessory模式，否則，此惡意軟體將無法運作。

這種入侵手段雖然存在缺陷，但它卻可作為防禦機制，防止攻擊者操縱汽車智能系統竊取車輛。這是因為，這款惡意軟體不允許啟動車輛。

不過，圖拉指出，這只是暫時的情況。黑客可能會想到通過殭屍網路實現入侵，而且還能利用系統中的漏洞執行遠程訪問木馬攻擊。

系統升級已修復此漏洞

外媒指出，悅聯車載系統固件已經推出了升級版本，可以防止任何人通過U盤注入惡意程序。

聯網汽車成為攻擊目標屢見不鮮

聯網汽車易遭受網路攻擊已不是什麼新鮮事。

2015年來自美國的兩名黑客Charlie
Miller和Chris Valasek成功破解了Jeep
Cherokee，即國內的自由光，讓克萊斯勒公司不得不全球召回140萬輛車。他們能在不接觸汽車的情況下，入侵併控制汽車的多媒體系統、動力系統以及剎車系統等。例如，他們可以破解汽車的無鑰匙進入系統，隨意控制影音播放系統和雨刷器，讓車輛在行駛過程中油門和剎車失靈等等。

吉普切諾基車載系統也曾遭遇黑客入侵，影響車輛超過47萬台。

同樣，易受攻擊的WiFi軟體狗也易讓汽車遭遇藍牙攻擊。

Mazda_GetInfo工具地址：點擊最下方「了解更多」獲取。

相關閱讀：

《速度與激情8》控制汽車會成為現實，這是真的！

除了聯網汽車：物聯網還將在哪些方面支持交通行業？

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！