Китайцы показательно взломали умный Mercedes-Benz

Опубликовано at 18:52
124 0

Многострадальный элитный умный Mercedes-Benz был взломал китайцами еще в 2018 году. Теперь специалисты команды Sky-Go, подразделения по кибербезопасности транспортных средств компании Qihoo 360 (разработчиков антивируса 360), рассказали о своих находках на конференции Black Hat.

По словам экспертов, в 2018 году им удалось обнаружить 19 серьезных проблем в автомобилях Mercedes-Benz E-класса. Детали багов были намеренно опущены для предотвращения эксплуатации уязвимостей (отметим, что не так давно исходный код автомобиля утек в сеть).

Исследователи провели тесты на реальном Mercedes-Benz E-класса, который считается наиболее «интеллектуальным» бизнес-седаном и оснащается мощной информационно-развлекательной системой. Sky-Go показали, что злоумышленник мог удаленно открыть двери автомобиля, активировать звуковой сигнал и свет, а в некоторых случаях даже запустить двигатель.

В файловой системе TCU (модуля управления телематикой), к которой они получили доступ через интерактивный шелл с root-правами, эксперты обнаружили пароли и сертификаты для бэкэнд-сервера.

Серверы бэкэнда не требовали аутентификации, когда получали запросы от мобильного приложения Mercedes me, с помощью которого пользователи могут удаленно управлять своим автомобилем и контролировать его функции. Эксперты объясняют, что имея доступ к серверной части, они могли управлять любой машиной в Китае (их там около 2 миллионов штук).

«Если к сервисам бэкенда можно получить доступ извне, это означает, что он находится под угрозой атаки. Транспортные средства, подключающиеся к этому бэкэнду, тоже находятся в опасности», —  Sky-Go.

Большинство уязвимостей, обнаруженных командой Sky-Go, затронули TCU и бэкэнд, хотя несколько багов были найдены в головном устройстве и других компонентах авто. Еще в августе прошлого года исследователи уведомили о своих находках представителей концерна Daimler, владеющего брендом Mercedes-Benz, уязвимости были исправлены в декабре 2019 года.

Мы ранее писали, что в мае 2020 года исходный код компонентов бортового устройства Mercedes-Benz слили в сеть:

Исходники умного автомобиля Mercedes-Benz слили в сеть

 

Подписываемся, следим @CyberAgency

Related Post

Как в Европе обходят требования GDPR по cookies

Опубликовано - 14.01.2020 0
По «Общему регламенту по защите данных» (GDPR) европейские сайты обязаны предоставлять пользователям возможность отключать отслеживающие технологии наподобие cookie-файлов. Однако в…

Нейросеть не допустит термоядерного Чернобыля

Опубликовано - 19.03.2020 0
Доверимся беспристрастному ИИ вместо человеческого фактора? Международная команда ученых во главе с аспирантом из Принстонской лаборатории физики плазмы Министерства энергетики…