Китайские ИБ-специалисты взломали Mercedes-Benz E-Class

Дата: 11.08.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Китайские ИБ-специалисты взломали Mercedes-Benz E-Class

Эксперты по кибербезопасности из сообщества Sky-Go, которое работает в сфере безопасности транспортных средств, нашли 19 критических уязвимостей в современных автомобилях линейки Mercedes-Benz E-Class. Проблемы были найдены еще в 2018 г., но информацию о них китайские специалисты опубликовали только сейчас, выступив с соответствующим докладом на конференции Black Hat USA 2020.

Китайские специалисты по информационной безопасности из команды Sky-Gо тестировали в 2018 г. реальный автомобиль Mercedes-Benz E-Class, недавно выпущенный с конвейера немецкого производителя. В результате непродолжительных исследований был найден ряд критических уязвимостей, с помощью которых, в теории, киберпреступники могли:

  • дистанционно открыть двери машины, разблокировав центральный замок;
  • запустить светозвуковые сигналы;
  • запустить двигатель (при определенных обстоятельствах).

Из-за возможной эксплуатации подобных уязвимостей, если бы они не были исправлены вовремя, только в Китае могло пострадать более 2 млн. автовладельцев.

Исследования проводились в отношении Mercedes-Benz E-Class по той причине, что этот автомобиль является из всего модельного ряда немецкого автопроизводителя наиболее «интеллектуальным» авто бизнес-класса, имеет многофункциональную современную информационно-развлекательную систему, поддерживающую пользовательское подключение самыми разными способами.

Чтобы провести тестирование, специалисты демонтировали центральную панель машины, провели анализ функционирования головного устройства, блока управления телематикой, бэкенда. В файловой системе блока управления, к которой доступ был получен с помощью интерактивного шелла рут-правами, специалисты нашли пароли и сертификаты для бэкенд-сервера, который считается «сердцем» транспортного средства.

Основная проблема состояла в том, что бэкенд-серверы Mercedes-Benz E-Class не нуждались в дополнительной аутентификации, если запрос исходил от приложения Mercedes Me (с его помощью автовладельцы имеют возможность дистанционной управлять машиной, контролируя ее функционал). Китайские эксперты отметили, что при получении доступа к серверной части они могут управлять любым автомобилем на дорогах Китая, который был взломан.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *