Tým čínských expertů ze společnosti Qihoo 360, respektive z její divize Sky-Go, zaměřující se na hackování aut, objevil v Mercedesu třídy E téměř 20 zranitelností, z nichž některé jim umožnily se do vozu nabourat na dálku. Odborníci analyzovali tento model proto, že se jedná o propojený vůz s pokročilým infotainmentovým systémem s bohatými funkcemi.
Tým začal vozidlo zkoumat v roce 2018 a v srpnu roku následujícího svá zjištění nahlásil společnosti Daimler, matce automobilky Mercedes-Benz. O tři měsíce později automobilka oznámila partnerství se společností 360 Group, které mělo posílit IT bezpečnost v automobilovém průmyslu.
Chyby umožnily odemknout dveře i nastartovat motor
Před pár dny zástupci Sky-Go a Daimleru odhalili závěry výzkumu veřejnosti v rámci kyberbezpečnostní konference Black Hat. Vyhnuli se nicméně zveřejnění technických detailů, aby nedali hackerům návod na zneužití nalezených exploitů.
Zranitelnosti expertům umožnily na dálku odemknout dveře vozu a nastartovat motor. Podle nich chyby mohly jen v Číně postihnout 2 miliony vozidel.
Tým zpočátku shromáždil z cílových zařízení relevantní informace, jako je topologie sítě nebo model čipu, a poté odmontoval palubní desku, aby analyzoval elektrická propojení mezi elektronickými řídicími jednotkami.
Analýza souborového systému telematické řídicí jednotky, již si experti zpřístupnili získáním interaktivního shellu s rootovskými privilegii, jim následně odhalila hesla a certifikáty pro backendový sever. Kromě toho se jim podařilo k backendovým serverům získat přístup analýzou eSIM karty, kterou vozidlo používá pro externí konektivitu.
Výzkumníci si všimli nedostatečné autentizace mezi backendovými servery a mobilní aplikací Mercedes me, která uživatelům umožňuje ovládat mnoho funkcí vozu na dálku. Vysvětlili, že jakmile získali k backendu přístup, mohli v Číně ovládat jakékoli auto.
Kritické funkce se hacknout nepodařilo
Na závěr dodali, že se jim nepodařilo hacknout žádné kritické funkce vozu. „Během výzkumu a společného workshopu jsme u propojených vozidel Mercedes-Benz viděli mnoho bezpečnostních funkcí a tyto funkce je chrání před různými útoky. Schopnost automobilky pracovat společně s výzkumníky přispívá k celkové bezpečnosti naších aut,“ uvedli na konferenci.
