Helaas niet kunnen vinden in NL
Maar iedereen leest wel n beetje engels neem ik aan
https://latesthackingnews-com.cdn.ampp ... he-vehicle
Mercedes te hacken door kwetsbaarheden
-
speedster
- Berichten: 153
- Lid geworden op: 23 aug 2015 16:26
- Mercedes-Benz: Mercedes-Benz A250 Sport - Opel Speedster Compressor - Porsche Cayman S
Door beveiligingslekken in het Mercedes-Benz-systeem kan het voertuig worden gehackt
Mercedes-Benz kwetsbaarheden
Onderzoekers hebben ontdekt hoe technologische vooruitgang een bedreiging kan vormen voor de autobeveiliging. Onlangs ontdekten ze tal van kwetsbaarheden in het onlangs gelanceerde Mercedes-Benz User Experience (MBUX) -systeem. Door deze kwetsbaarheden in het infotainmentsysteem te misbruiken, kan het voertuig worden gehackt.
Kwetsbaarheden in het Mercedes-Benz-systeem
Onderzoekers van het Tencent Security Keen Lab hebben meerdere beveiligingsproblemen in het Mercedes-Benz infotainmentsysteem in auto's gevonden.
Mercedez-Benz lanceerde in 2018 de Mercedes-Benz User Experience (MBUX), die nog niet onderzocht was door de cyberbeveiligingsgemeenschap.
Daarom hebben de onderzoekers het systeem grondig bestudeerd en talloze beveiligingsfouten gevonden die hackaanvallen uitlokken. Ze hebben hun bevindingen gedeeld in een gedetailleerd witboek .
In het bijzonder vonden ze meerdere aanvalsoppervlakken, waaronder JavaScript-engine, Bluetooth-stack, WiFi-chip, USB-functies en apps van derden in de head-unit - de infotainment-ECU. Hierdoor zou een tegenstander misbruik kunnen maken van de tekortkomingen voor het uitvoeren van externe code, escalatie van lokale privileges, misbruik van heap-overflow, denial-of-service, het antidiefstalmechanisme omzeilen en de controle over het doelsysteem overnemen.
Volgens de onderzoekers zou het exploiteren van deze tekortkomingen realtime aanvallen op voertuigen en op gescheiden hoofdeenheden mogelijk kunnen maken. Met betrekking tot hun bevindingen verklaarden ze:
We hebben gedemonstreerd hoe willekeurige CAN-berichten van T-Box kunnen worden verzonden en het code-ondertekeningsmechanisme kunnen worden omzeild om een aangepaste SH2A MCU-firmware te modificeren door gebruik te maken van de kwetsbaarheid die we in SH2A-firmware hebben gevonden op een foutopsporingsversie T-Box.
Kort gezegd injecteerden de onderzoekers TCP-pakketten via de CAN-bus om verschillende commando's aan het voertuig te geven, zoals het openen of sluiten van het omgevingslicht, het leeslampje voor de bestuurder, het leeslampje voor de passagier, het passagierslicht op de achterbank of het openen van de zonneschermafdekking.
Ze hebben ook enkele mislukte hackpogingen gedaan die ze ook in het witboek hebben beschreven.
Beveiligingsoplossingen vrijgegeven
Voor hun studie analyseerden de onderzoekers afzonderlijke head-unit en T-Box in een testbankscenario naast het beoordelen van het A200L-model 2019.
Nadat ze deze bugs hadden gevonden, namen de onderzoekers contact op met de autoverkoper om de tekortkomingen te melden.
Daarom begon Mercedes-Benz in januari 2021 met het patchen van de kwetsbaarheden. En nu hebben de onderzoekers hun rapport openbaar gemaakt.
Mercedes-Benz kwetsbaarheden
Onderzoekers hebben ontdekt hoe technologische vooruitgang een bedreiging kan vormen voor de autobeveiliging. Onlangs ontdekten ze tal van kwetsbaarheden in het onlangs gelanceerde Mercedes-Benz User Experience (MBUX) -systeem. Door deze kwetsbaarheden in het infotainmentsysteem te misbruiken, kan het voertuig worden gehackt.
Kwetsbaarheden in het Mercedes-Benz-systeem
Onderzoekers van het Tencent Security Keen Lab hebben meerdere beveiligingsproblemen in het Mercedes-Benz infotainmentsysteem in auto's gevonden.
Mercedez-Benz lanceerde in 2018 de Mercedes-Benz User Experience (MBUX), die nog niet onderzocht was door de cyberbeveiligingsgemeenschap.
Daarom hebben de onderzoekers het systeem grondig bestudeerd en talloze beveiligingsfouten gevonden die hackaanvallen uitlokken. Ze hebben hun bevindingen gedeeld in een gedetailleerd witboek .
In het bijzonder vonden ze meerdere aanvalsoppervlakken, waaronder JavaScript-engine, Bluetooth-stack, WiFi-chip, USB-functies en apps van derden in de head-unit - de infotainment-ECU. Hierdoor zou een tegenstander misbruik kunnen maken van de tekortkomingen voor het uitvoeren van externe code, escalatie van lokale privileges, misbruik van heap-overflow, denial-of-service, het antidiefstalmechanisme omzeilen en de controle over het doelsysteem overnemen.
Volgens de onderzoekers zou het exploiteren van deze tekortkomingen realtime aanvallen op voertuigen en op gescheiden hoofdeenheden mogelijk kunnen maken. Met betrekking tot hun bevindingen verklaarden ze:
We hebben gedemonstreerd hoe willekeurige CAN-berichten van T-Box kunnen worden verzonden en het code-ondertekeningsmechanisme kunnen worden omzeild om een aangepaste SH2A MCU-firmware te modificeren door gebruik te maken van de kwetsbaarheid die we in SH2A-firmware hebben gevonden op een foutopsporingsversie T-Box.
Kort gezegd injecteerden de onderzoekers TCP-pakketten via de CAN-bus om verschillende commando's aan het voertuig te geven, zoals het openen of sluiten van het omgevingslicht, het leeslampje voor de bestuurder, het leeslampje voor de passagier, het passagierslicht op de achterbank of het openen van de zonneschermafdekking.
Ze hebben ook enkele mislukte hackpogingen gedaan die ze ook in het witboek hebben beschreven.
Beveiligingsoplossingen vrijgegeven
Voor hun studie analyseerden de onderzoekers afzonderlijke head-unit en T-Box in een testbankscenario naast het beoordelen van het A200L-model 2019.
Nadat ze deze bugs hadden gevonden, namen de onderzoekers contact op met de autoverkoper om de tekortkomingen te melden.
Daarom begon Mercedes-Benz in januari 2021 met het patchen van de kwetsbaarheden. En nu hebben de onderzoekers hun rapport openbaar gemaakt.