Mercedes Klasy E miał 19 luk bezpieczeństwa. Hakerzy mogli otworzyć drzwi i uruchomić silnik
Mercedes Klasy E, choć teraz jest już bezpieczny, trafił na rynek z kilkunastoma lukami bezpieczeństwa. Jak ujawnili badacze podczas Black Hat 2020, w pojeździe wykryto 19 usterek, które pozwalały atakującym między innymi zdalnie otworzyć samochód i uruchomić silnik.
Jak podał Threatpost, problem mógł dotyczyć nawet 2 milionów Mercedesów, nim ich oprogramowanie zostało załatane. Wszystkie problemy, o których mowa, zostały zgłoszone producentowi w sierpniu ubiegłego roku. Luki zostały załatane już kilka dni później (a aktualizacje zapewne zdalnie wgrane do samochodów klientów), ale dopiero teraz są publicznie opisywane.
Jak wynika z analizy, głównym problemem był fakt stałego podłączenia pojazdu do sieci i niedopracowanych zabezpieczeń w tym zakresie, co pozwoliło zdalnie wysyłać samochodowi polecenia. Analiza była skupiona na Mercedesie E300L, który wykorzystuje system infotainment stworzony przez Mitsubishi Electronics, ale w tym znaleziono tylko jedną z luk – związaną z aplikacją zdalnego dostępu.
6 kolejnych było natomiast związanych z systemem automatycznego powiadamiania służb o ewentualnym wypadku. Inne – między innymi z backendem w samochodzie, jak określono kod działający zapewne w którymś z niezbędnych komputerów. Jednym z kluczowych elementów w całej elektronice, który umożliwiał ataki, okazał się HERMES, czyli system TCU (służący do komunikacji i lokalizacji), który docelowo pozwolił zdalnie odczytywać dane z komputera pokładowego i sterować nim, w tym centralnym zamkiem.
Co ciekawe, wadliwe były także zabezpieczenia dotyczące szyfrowania. Badaczom udało się bowiem odczytać certyfikaty podczas teoretycznie chronionej komunikacji, co doprowadziło do wykorzystania innych podatności. Jak podał Threatpost, Mercedes właściwie zachował się, gdy tylko dowiedział się o lukach. Część usług natychmiast wyłączono i wprowadzono poprawki. Zdecydowano także o wprowadzeniu innych poprawek, które będą miały znaczenie w dłuższej perspektywie.
W 2018 roku, podczas finałów Intel Extreme Masters, miałem okazję testować Mercedesa Klasy E na katowickich drogach. Samochód jest po brzegi naszpikowany elektroniką i z pewnością nietrudno, by na którymś etapie nie dopracować wszystkich zabezpieczeń, co rzecz jasna nie oznacza, że jest to akceptowalne. Opisywany przykład Mercedesa pokazuje, że producenci samochodów – szczególnie tych, które uchodzą za najnowocześniejsze – powinni poświęcać więcej uwagi zabezpieczeniom, bo w praktyce ich pojazdy od strony oprogramowania są dla atakujących jedynie kolejnym celem, takim samym jak drukarki w firmach czy routery w domach.
Oskar Ziomek
