Vulnerabilidades en el sistema Mercedes-Benz podrían permitir su hackeo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vulnerabilidades en el sistema Mercedes-Benz

Investigadores del Tencent Security Keen Lab han encontrado múltiples vulnerabilidades de seguridad en el sistema de información y entretenimiento en automóviles Mercedez-Benz.

Este fabricante lanzó Mercedes-Benz User Experience (MBUX) en 2018 que no había sido examinada por la comunidad de ciberseguridad. Por lo tanto, los investigadores llevaron a cabo un estudio detallado del sistema y encontraron numerosas fallas de seguridad que desencadenan ataques de piratería.

Han compartido sus hallazgos en un informe técnico detallado.

Específicamente, encontraron múltiples superficies de ataque, incluido el motor JavaScript, la pila de Bluetooth, el chip WiFi, las funciones USB y las aplicaciones de terceros en la unidad principal: la ECU de información y entretenimiento.

A través de estos, un adversario podría aprovechar las fallas para la ejecución remota de código, la escalada de privilegios local, la explotación de desbordamiento de pila, la denegación de servicio, eludir el mecanismo antirrobo y tomar el control del sistema de destino.

Según los investigadores, explotar estas fallas podría permitir ataques en tiempo real a vehículos, así como a unidades principales segregadas.

Con respecto a sus hallazgos, afirmaron:

"Demostramos cómo enviar mensajes CAN arbitrarios desde T-Box y omitir el mecanismo de firma de código para actualizar un firmware SH2A MCU personalizado utilizando la vulnerabilidad que encontramos en el firmware SH2A en una versión de depuración de T-Box."

En resumen, los investigadores inyectaron paquetes de TCP a través del bus CAN para dar varios comandos al vehículo, como abrir o cerrar la luz ambiental, la luz de lectura del conductor, la luz de lectura del pasajero, la luz del pasajero del asiento trasero o abrir el cubierta de sombrilla. También hicieron algunos intentos fallidos de piratería que también describieron.

Lanzamiento de correcciones de seguridad

Para su estudio, los investigadores analizaron la unidad principal separada y T-Box en un escenario de banco de pruebas junto con la evaluación del modelo A200L 2019.

Después de encontrar estos errores, los investigadores se comunicaron con el proveedor de automóviles para informar los defectos.

En consecuencia, Mercedes-Benz comenzó a parchear las vulnerabilidades en enero de 2021. Y ahora, los investigadores han revelado su informe públicamente.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sabíamos que al final... de un modo u otro

Sería nuestro:



Ya un paisano subió el vídeo: