Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Китайские ИБ-специалисты взломали Mercedes-Benz E-Class

6
1 мин
Эксперты по кибербезопасности из сообщества Sky-Go, которое работает в сфере безопасности транспортных средств, нашли 19 критических уязвимостей в современных автомобилях линейки Mercedes-Benz E-Class. Проблемы были найдены еще в 2018 г., но информацию о них китайские специалисты опубликовали только сейчас, выступив с соответствующим докладом на конференции Black Hat USA 2020. Китайские специалисты по информационной безопасности из команды Sky-Gо тестировали в 2018 г. реальный автомобиль Mercedes-Benz E-Class, недавно выпущенный с конвейера немецкого производителя. В результате непродолжительных исследований был найден ряд критических уязвимостей, с помощью которых, в теории, киберпреступники могли: Из-за возможной эксплуатации подобных уязвимостей, если бы они не были исправлены вовремя, только в Китае могло пострадать более 2 млн. автовладельцев. Исследования проводились в отношении Mercedes-Benz E-Class по той причине, что этот автомобиль является из всего модельного ряда немецко

Эксперты по кибербезопасности из сообщества Sky-Go, которое работает в сфере безопасности транспортных средств, нашли 19 критических уязвимостей в современных автомобилях линейки Mercedes-Benz E-Class. Проблемы были найдены еще в 2018 г., но информацию о них китайские специалисты опубликовали только сейчас, выступив с соответствующим докладом на конференции Black Hat USA 2020.

Китайские специалисты по информационной безопасности из команды Sky-Gо тестировали в 2018 г. реальный автомобиль Mercedes-Benz E-Class, недавно выпущенный с конвейера немецкого производителя. В результате непродолжительных исследований был найден ряд критических уязвимостей, с помощью которых, в теории, киберпреступники могли:

  • дистанционно открыть двери машины, разблокировав центральный замок;
  • запустить светозвуковые сигналы;
  • запустить двигатель (при определенных обстоятельствах).

Из-за возможной эксплуатации подобных уязвимостей, если бы они не были исправлены вовремя, только в Китае могло пострадать более 2 млн. автовладельцев.

Исследования проводились в отношении Mercedes-Benz E-Class по той причине, что этот автомобиль является из всего модельного ряда немецкого автопроизводителя наиболее «интеллектуальным» авто бизнес-класса, имеет многофункциональную современную информационно-развлекательную систему, поддерживающую пользовательское подключение самыми разными способами.

Чтобы провести тестирование, специалисты демонтировали центральную панель машины, провели анализ функционирования головного устройства, блока управления телематикой, бэкенда. В файловой системе блока управления, к которой доступ был получен с помощью интерактивного шелла рут-правами, специалисты нашли пароли и сертификаты для бэкенд-сервера, который считается «сердцем» транспортного средства.

Основная проблема состояла в том, что бэкенд-серверы Mercedes-Benz E-Class не нуждались в дополнительной аутентификации, если запрос исходил от приложения Mercedes Me (с его помощью автовладельцы имеют возможность дистанционной управлять машиной, контролируя ее функционал). Китайские эксперты отметили, что при получении доступа к серверной части они могут управлять любым автомобилем на дорогах Китая, который был взломан.

Гаджеты и электроника
5,73 млн интересуются