你可以用U盤黑掉一輛馬自達

得益於三年來一系列的已知Bug，馬自達汽車的MZD信息娛樂系統可以通過將U盤插入儀錶板進行黑客入侵。

這些Bug早在在2014年5月就被Mazda 3 Revolution論壇用戶發現了。自此，馬自達論壇的車主們一直在使用這些「黑客手段」定製汽車的信息娛樂系統、調整設置或安裝應用程序，MZD-AIO-TI（MZD整合調整安裝包）就是其中最好的工具之一。

通過之前項目分享的知識積累，Bugcrowd的APP安全工程師Jay Turla搭建了mazda_getInfo，該系統可以讓整個「黑客」過程自動化。

研究始於好奇心

Turla表示，在最近自購馬自達汽車之後，他就開始了研究。

最初我只是想檢查一下我的車，看看有哪些可能的攻擊點。」Turla告訴BleepingComputer的記者。「另外，因為個人研究原因我也想測試一下我的車。去年我第一次參加維加斯DEFCON24期間的CarHackingVillage就愛上了，我有幾個在菲律賓的朋友也正在研究汽車黑客行為。

Turla的mazda_getInfo項目上周在GitHub上開放，可讓使用者在他們的U盤上複製一組腳本，將其插入汽車的儀錶板即可在MZDConnect固件之上執行惡意代碼。

在測試期間，Turla嘗試過執行一些簡單的攻擊，如在汽車儀錶盤上顯示文本或顯示終端命令。由於MZDConnect是一個基於*NIX的系統，所以任何人都可以創建腳本並執行更多入侵攻擊。

在一封電子郵件中，Turla提到了該項目的一些細節。

我做了一些相關調查，包括如何創建APP。我研究了MZD-AIO-TI的工作原理，發現該系統可以通過cmu_dataretrieval.up和dataRetrieval_config.txt執行tweak.sh腳本。因此，我決定創建mazda_getInfo項目，研究證明USB埠是馬自達汽車信息娛樂系統的攻擊面，通過jci-dialog用兩個已知的*nix命令來回顯輸出就能完成入侵過程。我只是想讓侵入過程更簡潔高效，以便讓更多人知道還有這麼回事兒。

Turla表示，MZConnect系統在先前的固件更新後默認禁用了SSH，而他的腳本實際上只是重新啟用SSH支持。

USB攻擊自動執行

此外，在用戶將U盤插入汽車儀錶板後，攻擊會自動執行。

Turla告訴記者：

無需用戶交互，只要將U盤插入汽車的USB埠即可。想像一下在Windows上直接執行腳本的自動播放功能。

雖然自動攻擊這點很棒，但缺點也是有的。例如，在腳本執行之前，汽車必須處於ACC模式，或者需要發動機正在運行。這也意味著您不能使用這個信息娛樂系統漏洞來啟動或劫持汽車。

儘管如此，Turla承認他的研究還不夠到位，同時他也覺得這樣的攻擊場景也是的確存在的。

他在電子郵件中說：

雖然我還沒有做出PoC，但這種攻擊是完全可能的。

Turla表示，有些黑客可能會打造出殭屍車隊，以下是用於dataRetrieval_config.txt的文件配置示例，Turla通過電子郵件分享了該示例：

CMU_STATUS=no

DATA_PERSIST=no

SCREENSHOT=no

MEMINFO=no

TOP_LOG=no

SMEVENTS=no

NVRAM_DATA=no

THREAD_INFO=no

VUI_LOG=no

GPIO_DATA=no

SETTINGS_BIN=no

SMAPS_VALUE=no

TEST_MODE=no

VUI_ECO_FILES=no

BDS_DATA=no

FLASHINFO=no

SCI_LOG=no

LOG_TIMEOUT=120

TMP_FILTER=

CMD_LINE=sh/mnt/sd?1/botnet.sh

此外，Turla稱他的一名同事認為這些缺陷可能會被濫用，導致馬自達汽車上被安裝RAT（遠程訪問木馬）。

其他查看了MZDConnect固件的研究人員也贊同這一觀點。安全研究員Aris Adamantiadis在Twitter上寫道：

汽車多媒體單元（CMU）充滿了遠程執行程序漏洞。如果將汽車連接到WiFi，你就可以通過網路DBUS對CAN匯流排進行（只讀）訪問。

USB攻擊漏洞在最近的固件更新中被修復

一切皆有可能，因為Bug可致用戶在其信息娛樂系統上執行未經授權的代碼。如果攻擊者具有編寫代碼的技能和知識的話，那麼「一切」就是字面意思了。

MZF-AIO-TI項目提到，上個月發布的固件版本為59.00.502的MZDConnect已經修復了該USB代碼執行漏洞。尚未更新到此版本的汽車最有可能遭到攻擊，儘管沒有任何報告指出該漏洞被用來執行除調整信息娛樂系統之外的操作。

BleepingComputer已經聯繫了馬自達，並請求他們發表評論，但他們在文章發布之前尚未收到回復。

以下是已知配置了MZDConnect系統的馬自達車型列表：

MazdaCX-3

MazdaCX-5

MazdaCX-7

MazdaCX-9

Mazda2

Mazda3

Mazda6

MazdaMX-5

Turla告訴BleepingComputers，他將繼續研究汽車漏洞。

Turla說：

我想嘗試一下特斯拉ModelS、本田City2017，或是三菱MonteroSport2017，希望我有機會在今年的DEFCON上對展示車輛的儀錶板或信息娛樂系統上手測試一番。另外，我還需要點現金，畢竟車可不便宜……所以我覺得還是借朋友的車來測試一下好了。

最後值得一提的是，上周安全研究員AaronGuzman在澳大利亞舉行的計算機安全會議上介紹了一種黑入斯巴魯汽車的方法，馬自達有伴兒了。

*本文作者：Akane，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！