Исследователи удаленно взломали Mercedes-Benz

Пн 10 Август 2020 07:44

Специалисты подразделения китайской ИБ-компании Qihoo 360, специализирующегося на кибербезопасности транспортных средств, обнаружили почти два десятка уязвимостей в автомобилях Mercedes-Benz E-Class, в том числе проблемы, позволяющие удалено взломать машину. Результаты исследования, проводившегося с 2018 года, были представлены в рамках конференции Black Hat, которая в нынешнем году проходила в виртуальном формате в связи с пандемией коронавируса.

В ходе анализа специалисты выявили 19 уязвимостей в Mercedes-Benz E-Class, эксплуатация которых позволила получить доступ к компьютерным системам автомобиля для удаленного запуска двигателя и открытия дверей. Большинство проблем, обнаруженных командой Sky-Go, затрагивали телематический блок управления (TCU) и backend-серверы.

С помощью интерактивного шелла с правами суперпользователя исследователям удалось получить доступ к файловой системе блока TCU, которая содержала пароли и сертификаты для backend-сервера.

Эксперты также смогли получить доступ к backend-серверам с помощью встроенной eSIM карты, которая обычно используется для обеспечения подключения, идентификации автомобиля и шифрования связи.

Проблема заключалась в том, что backend-серверы не аутентифицировали запросы от мобильного приложения Mercedes me, посредством которого владельцы авто могут удаленно управлять различными функциями транспортного средства. По словам исследователей, используя данную уязвимость хакер может блокировать и разблокировать двери авто, поднимать и опускать крышу, включить фары и даже запустить двигатель. Стоит отметить, что специалистам не удалось взломать ни одну из функций безопасности авто.

Команда Sky-Go передала информацию об обнаруженных уязвимостях владельцу бренда Mercedes-Benz E-Class компании Daimler, которая исправила их в декабре 2019 года.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 252 дня 7 часов 56 минут 4 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.