Многострадальный элитный умный Mercedes-Benz был взломал китайцами еще в 2018 году. Теперь специалисты команды Sky-Go, подразделения по кибербезопасности транспортных средств компании Qihoo 360 (разработчиков антивируса 360), рассказали о своих находках на конференции Black Hat.
По словам экспертов, в 2018 году им удалось обнаружить 19 серьезных проблем в автомобилях Mercedes-Benz E-класса. Детали багов были намеренно опущены для предотвращения эксплуатации уязвимостей (отметим, что не так давно исходный код автомобиля утек в сеть).
Исследователи провели тесты на реальном Mercedes-Benz E-класса, который считается наиболее «интеллектуальным» бизнес-седаном и оснащается мощной информационно-развлекательной системой. Sky-Go показали, что злоумышленник мог удаленно открыть двери автомобиля, активировать звуковой сигнал и свет, а в некоторых случаях даже запустить двигатель.
В файловой системе TCU (модуля управления телематикой), к которой они получили доступ через интерактивный шелл с root-правами, эксперты обнаружили пароли и сертификаты для бэкэнд-сервера.
Серверы бэкэнда не требовали аутентификации, когда получали запросы от мобильного приложения Mercedes me, с помощью которого пользователи могут удаленно управлять своим автомобилем и контролировать его функции. Эксперты объясняют, что имея доступ к серверной части, они могли управлять любой машиной в Китае (их там около 2 миллионов штук).
«Если к сервисам бэкенда можно получить доступ извне, это означает, что он находится под угрозой атаки. Транспортные средства, подключающиеся к этому бэкэнду, тоже находятся в опасности», — Sky-Go.
Большинство уязвимостей, обнаруженных командой Sky-Go, затронули TCU и бэкэнд, хотя несколько багов были найдены в головном устройстве и других компонентах авто. Еще в августе прошлого года исследователи уведомили о своих находках представителей концерна Daimler, владеющего брендом Mercedes-Benz, уязвимости были исправлены в декабре 2019 года.
Мы ранее писали, что в мае 2020 года исходный код компонентов бортового устройства Mercedes-Benz слили в сеть: