Başka bir gün, otomotiv cihazı yazılımında başka bir çarpışma.
Bu sefer, böcek 2014-2017'den daha eski model Mazdas'ın bilgi-eğlence sisteminde bulundu. Sürücüler, yerel bir radyo istasyonuna bağlanırken HD radyo alıcılarının düştüğünü bildirdi. Radyo ve ekranı, Bluetooth özellikleri, yerleşik haritalar ve dijital saatler kızartılmıştır.
Raporlara göre, sistem arızası, radyo istasyonu, dosya adlarında istenen uzantı olmadan görüntüleri ilettiğinde devam eden basit bir kodlama hatası nedeniyle oluştu.
Sinirli Mazda sahipleri yeni 1500 dolarlık CMU'yu (bağlantı ana birimi) bekleyen olsa da, bu özel hata nispeten zararsızdı - asgari hasarla sonuçlandı.
Ne yazık ki, olasılıklar, araç sistemlerinde yazılım arızaları raporlarını duymaya devam edeceğiz ve araçlara giderek daha fazla güven, güvenliği ve güvenliği etkileyen güvenlik açıklarının artmasıdır. Bir sonraki hatanın sürücüleri nasıl etkileyeceğini kim bilebilir?
Mazda Cmus'un çökmesine yol açan kodlama hatasının tam detayları yayınlanmadı, ancak bir tür boş hakem güvenlik açığı olduğunu varsayabiliriz.
İşte bu nasıl çalışır:
C programlama dilinde, Strchr adında bir fonksiyon var. Bu fonksiyon iki parametre alır: bir dizgeye ve bir karaktere bir işaretçi ve dize içindeki karakteri bulmaya çalışırken, sonuçta bir işaretçi döndürür. İşlev başarısız olursa, NULL işaretçisi iade edilir.
Ardından, program muhtemelen aldığı belirli dosyanın uzatılmasını anlamaya çalışacaktır.
Uzantıyı bulmak için, STRCMP'ye benzer bir fonksiyon muhtemelen kullanılır. Bu fonksiyon iki işaretçi alır ve içeriğini karşılaştırır. Sonunda, karşılaştırma bir ruteferencing işaretçisi ile yapılır.
Tutarlanma, işaretçinin işaret ettiği değeri alma eylemidir.
Bu özel durumda, NULL işaretçisi bu fonksiyona gönderildi ve işlev null'ın değerini engellemeye çalıştığında, bir istisna var.
Koddaki bu tür güvenlik açığı, alınan işaretçinin NULL'den farklı olup olmadığını kontrol ederek kolayca önlenebilir.
Geliştirme aşamasında bu tür bir sorunun önlenmesi, cihaz yazılımındaki güvenlik güvenlik açıklarından kaçınmak için nasıl kod yazılacağını tanımlayan güvenli kodlama standartlarını izlemesini gerektirir.
Bununla birlikte, güvenli kodlama yazılım güvenlik açıklarını önlemek için anahtardır, sadece bir faktördür.
Kodlama, en deneyimli programcılar tarafından yazıldığında bile her zaman insan hatalarına eğilimli olacaktır. Bunun üzerine, bugün güvendiğimiz ürünlerin çoğu, programcılarınızın yazılı bir parçası olmadığı açık kaynaklı ve üçüncü taraf yazılımını içeren bir tedarik zincirine güveniyor.
Araba üreticileri, direksiyondan ve frenlerden kör-nokta tespiti ve aralarındaki her şeye kadar sofistike otomatik güvenlik kontrollerine ağır yatırım yapıyorlar. Bu sistemlerin yazılıma giderek daha fazla güvendiği gerçeğini göz önünde bulundurarak, neden otomotiv yazılımı güvenliğine yönelik olan dikkatli değil?
Otomotiv cihazlarında bir yazılım güvenlik açığının maliyeti, arabanın yola çıktıktan sonra keşfedilirse keşfedilirse. İadeyi duraklatma fiyatının ötesinde veya ihracat hizmeti veren, yazılım hataları, kırılmış bir bilgi-eğlence sisteminin rahatsızlıktan daha fazlasına neden olabilir. Kritik güvenlik özelliklerinde bulunduğunda, aslında insan yaşamını etkileyebilirler.
Otomotiv cihazlarında yazılım güvenliğine yetersiz dikkatli, arabaları geçerken zaman bombalarına dönüştürebilir. Günümüzün ağır otomatik otomobilleri talebi, OEM'leri, en eski tasarım aşamalarından, zaten yolda olan yazılım sürümlerini takip etme yolundan, yazılım güvenliğini sağlamak için fiziksel otomobil güvenliğinin ötesine odaklarını uzatır.
Güvenli ve güvenlik açığı içermeyen otomotiv cihazlarının sağlanması, güvenli kodlamanın ötesinde veya manuel hata izlemesinin ötesinde ek adımlar gerektirir. Bu nedenle, tüm cihazlarda ürün yazılımı ve kodu, hataları hızlı bir şekilde tespit etmek ve düzeltmek için güvenlik açıkları için sürekli izlenmelidir. Otomatik ürün güvenliği, ekiplerin daha önce güvenlik risklerini ele almasına yardımcı olur - sonra - başlıklardaki şirketler.
Cybellum gibi gelişmiş bir otomotiv ürün güvenlik platformu, ürün güvenliği ekiplerinin, yazılımlarındaki her kod satırını izlemesini sağlar - ister evde veya üçüncü taraf veya açık kaynaklardan elde edilir - yazılım güvenlik açıklarının tespit edildiğinden emin olun. ve erken, insanlara pahalı yaralanmalara ve üreticilerin itibarlarına ciddi zarar verebilmelerine neden olmadan önce ele alınmıştır.
Mazda Infotainment Crash, bir kez daha basit bir kodlama hatasının öngörülemeyen Mayhem'e neden olabileceğini kanıtlıyor. Neyse ki, bu sefer, hasar, bilgi yüzlülüğü ile sınırlı ve geçici olarak sinirli sürücüler artı birkaç başlık. Araba üreticilerinin tüm yazılımlarının güvenilmesini sağlamak için cihaz güvenliğini önceliklendirmeye başlaması gerekir.
Cybellum tarafından sponsorlu
Ransomware'deki hafta - 18 Mart 2022 - Oto Endüstrisini Hedefleme
Yeni Pandora Ransomware Gang tarafından Otomotiv Dev Denso Hit
Windows 10 İsteğe bağlı güncellemeler Geçen ay tanıtılan performans sorunlarını düzelt
Kaynak: Bleeping Computer