Специалисты подразделения китайской ИБ-компании Qihoo 360, специализирующегося на кибербезопасности транспортных средств, обнаружили почти два десятка уязвимостей в автомобилях Mercedes-Benz E-Class, в том числе проблемы, позволяющие удалено взломать машину. Результаты исследования, проводившегося с 2018 года, были представлены в рамках конференции Black Hat, которая в нынешнем году проходила в виртуальном формате в связи с пандемией коронавируса.
В ходе анализа специалисты выявили 19 уязвимостей в Mercedes-Benz E-Class, эксплуатация которых позволила получить доступ к компьютерным системам автомобиля для удаленного запуска двигателя и открытия дверей. Большинство проблем, обнаруженных командой Sky-Go, затрагивали телематический блок управления (TCU) и backend-серверы.
С помощью интерактивного шелла с правами суперпользователя исследователям удалось получить доступ к файловой системе блока TCU, которая содержала пароли и сертификаты для backend-сервера.
Эксперты также смогли получить доступ к backend-серверам с помощью встроенной eSIM карты, которая обычно используется для обеспечения подключения, идентификации автомобиля и шифрования связи.
Проблема заключалась в том, что backend-серверы не аутентифицировали запросы от мобильного приложения Mercedes me, посредством которого владельцы авто могут удаленно управлять различными функциями транспортного средства. По словам исследователей, используя данную уязвимость хакер может блокировать и разблокировать двери авто, поднимать и опускать крышу, включить фары и даже запустить двигатель. Стоит отметить, что специалистам не удалось взломать ни одну из функций безопасности авто.
Команда Sky-Go передала информацию об обнаруженных уязвимостях владельцу бренда Mercedes-Benz E-Class компании Daimler, которая исправила их в декабре 2019 года.