18:56
10/8/2020

Badacze z Qihoo 360 zajmujący się car-hackingiem poinformowali o aż 19 podatnościach w Mercedesie klasy E. Część z nich może być wykorzystana do ataków zdalnych, czyli “przez internet”.

Chińczycy na celownik wzięli E-klasę, dlatego że jest to przykład bogato wyposażonego tzw. connected-car, czyli samochodu pełnego systemów infotainmentowych (czyli multimedialnych, podłączonych do internetu).

Dziury zostały zaprezentowane podczas zeszłotygodniowej konferencji Black Hat, ale bez szczegółów, aby zapobiec ich wykorzystaniu przez dowcipnisiów lub złodziejów. Badacze pokazali m.in jak zdalnie otworzyć samochód i wystartować silnik.

Problemy odkryli po reverse engineeringu modułów ECU, eSIM (“przekładając go” do routera 4G) i TCU, na którym zdobyli interaktywnego shella z uprawnieniami roota, co wykorzystali do “pozyskania” haseł i certyfikatów koniecznych do wymiany danych z backendem samochodu w “chmurze”.

Błędy związane z uwierzytelnieniem posiadała także aplikacja “Mercedes me” wykorzystywana do zarządzania samochodem.

Badacze ujawnili, że dzięki odkrytym w niej błędom mogli zarządzać każdym Mercedesem w Chinach.

Podatności zostały oczywiście zgłoszone do Daimlera, a od grudnia 2019 badacze ściśle współpracują z producentem Mercedesów, aby podnieść bezpieczeństwo w kolejnych modelach samochodów i aktualizacjach oprogramowania do współczesnych.

Mam inteligentny samochód, co robić, jak żyć?

Problem hackowania samochodów nie dotyczy tylko E-klasy. Dziś praktycznie każdy z samochodów zapewnia zdalne zarządzanie i śledzenie (mniej lub bardziej szczerze komunikując to swojemu właścicielowi).

Przypomnijmy, że na Niebezpieczniku opublikowaliśmy 4-odcinkowy cykl, “Jak śledzi Cię twój samochód”:

Przypomnijmy też, wszystkie brzydkie rzeczy, jakie kilka lat temu badacze zrobili Jeepowi, a dzięki którym mogli nim zdalnie sterować, przejmować hamulce, skrzynię biegów, itd, wszystko przez internet, kiedy nieświadomy niczego kierowca prowadził Jeepa na autostradzie.

I nagle stary, “głupi” samochód nie wydaje się być złym pomysłem dla kierowców-paranoików. Ci którzy wolą jednak podróżować bezpieczniejszymi (w kontekście NCAP) samochodami, powinni rozważyć usunięcie modułów “connected-carowych” ze swoich samochodów. Ich zagłuszanie, co niektórzy stosują, nie jest zbyt miłe dla kierowców ze smartfonami stojących w korku obok…

Przeczytaj także:



19 komentarzy

Dodaj komentarz
  1. ‪Ja się dostałem do mojego Citroena C4 przez SSH i włączyłem zablokowana opcje CarPlay

  2. “inteligentne” zarowki, “inteligentne” samochody, “inteligentne” telewizory, “inteligentne” lodowki etc, itd…
    Po co? Po kiego grzyba? Wszystko to tylko dodatkowy koszt, dodatkowe sledzenie, ograniczenie wlasnosci (odsprzedarz), zmarnowany czas, problemy z naprawa, wieksza awaryjnosc, dziury bezpieczenstwa, etc.

    Kompletny i absolutny brak pozytywow a przecierz NAWET PRZY RAKU PRZYNAJMNIEJ SIE CHUDNIE! Kto to kupuje? Co za pajace usiluja uzupelnic w ten sposob wlasne EWIDENTNE braki inteligencji, skazujac nas wszystkich na to gow*?!?

    • Nie czaje tego typu myślenia. Nie podoba się, to nie kupuj, chyba proste.

    • Pozytywistyczne wzorce nauki i wiedzy odchodzą w niepamięć, więc myślenie samodzielne nie jest w modzie. W efekcie ludzie obstawiają się rzeczami mającymi ich zastąpić w wielu dziedzinach, tylko ich mały misiowy rozumek nie obejmuje, że w pewnym momencie przestaną być potrzebni…

    • @Max – jest problem. Coraz trudniej jest kupić coś co jest proste i funkcjonalne a nie “inteligentne inaczej” i cholernie awaryjne. Za parę lat po prostu nie znajdziesz urządzenia pozbawionego takich funkcji, a spowodowanie, że nie będą działały okaże się cholernie trudne…

    • @Max – nie czaisz, bo masz ograniczony horyzont myślowy. Wyobraź sobie, że niedługo nie będziesz mieć wyboru, bo wszystkie urządzenia elektroniczne będą “connected”. I co wtedy? Mam nie kupować lodówki tylko kopać ziemiankę, zamiast pralki przeprosić się z tarą nad rzeczką, a na zakupy jeździć rowerem z przyczepką, bo nie chcę być “on-line”? Paranoikami nazywa się ludzi, którzy mają świadomość zagrożeń, a bohaterami są ci, którzy nigdy nie zostali zhackowani? To technologia ma być dla nas, a nie my dla technologii. Niedługo dupy samemu nie będzie można wytrzeć sobie.

    • Miałem wpłaconą zaliczkę, ale wycofałem i kupiłem Matiza. Nie będzie mi tu nikt fury hakowal.

    • @Max
      > Nie czaje tego typu myślenia. Nie podoba się, to nie kupuj, chyba proste.

      No wlasnie nie czaisz – a wbrew kreowanym “standardom” wlasna ignorancja nie jest tym co powinno napawac ludzi duma… wiele mechanizmow rynkowych ale tez i celowe dzialania producentow sprawia, ze jesli zbyt wielu ludzi zachowuje sie jak deb* to reszcie ich wybory zostaja narzucone. Czy jest to kupowanie “inteligentnych” urzadzen czy glosowanie na NSDAP zasada jest prosta – im bardziej porabany pomysl za ktorym glosuje wiekszosc tym mniejsza szansa ze reszta bedzie miala jakikolwiek wybor. Swietnym wspolczesnym przykladem jest to jak za sprawa wiekszosci, wiekszosc spoleczenstwa zostala pozbawiona praw do wlasnosci intelektualnych i prywatnosci na przestrzeni zaledwie kilku lat.

    • Ps. Tutaj bardziej przyziemny i jaskrawy przyklad, tego co sie dzieje kiedy idio* przejmuja stery a reszta “zawsze moze przecierz wciaz ogladac wartosciowe programy”: Telewizja…

    • > Miałem wpłaconą zaliczkę, ale wycofałem i kupiłem Matiza. Nie będzie mi tu nikt fury hakowal.

      Jesli nie wiedziales to wlasnie tak to wyglada:
      Chciales oliwkowy lakier na aucie, sprzedawca zarzadal pierworodnego syna wiec kupiles zielony. potem wiecej osob podjelo ta sama decyzje i puff nagle okazuje sie ze oliwkowa farbe 2.0 mozna juz kupic w pelni za gotowke i tylko troche drozej niz zielona.

      Natomiast co do uciazliwosci wyboru: to ona wlasnie rosnie im bardziej brniemy w gow*. Moze na poczatku wystarczylo wybrac opcje bez, potem trzeba bylo odposcic sobie model, nastepnym krokiem byl matiz, za niedlugo bedziesz musial (osobiscie) sprowadzac *podrobke* taty z uzbekistanu, a jak osiagnie sie wystarczajacy poziom kontroli to sie “glupie” samochody zdelegalizuje jak czesci zamienne do appla. A czemu by nie? W koncu to dodatkowa kasa dla “ogarow” trzepana z przecietniakow – a jak kogos nie stac to zawsze moze wziasc dodatkowy kredyt!

  3. Hm…
    zalinkowany artykuł “Jak śledzi Cię BMW” to tak moocno ogólny jest.
    Nawet w momencie publikacji w 2018 działo się tam sporo więcej…

  4. Heh, kiedyś to inteligentne były tylko proszki do prania :)

    Czekamy na biznes umówionej kradzieży po kupieniu AC. Ubezpieczalnia niczego nie zarzuci. Chyba, że zaczną wymagać w Mercu za 300 tysi, zakładania “laski” na kierownicę – tak jak dziadkowie w dużych Fiatach robili :)

  5. Nie jestem aż takim wrogiem “inteligentnych” urządzeń jak Miś ale problem w tym, że wiele opcji szpiegujących stało się obowiązkowych. I nie dość, że nie jesteś o nich informowany, to jeszcze nie możesz się ich pozbyć.

  6. Nie złodziejów tylko złodzei.

  7. Jak się dowiedziałem, to od razu wycofałem zaliczkę i kupiłem Matiza. Tej fury nie da rady shakować.

  8. A czego nie wiedzą Chińczycy?

  9. A ja tam widzę okazję do zarobienia kaski na takich “inteligentnych badziewiach”
    W tych czasach prywatność się ceni

  10. Kiedyś ludzie zalepiali kamery w laptopach żeby ich nikt nie podglądał a teraz kupują chińskie kamery IP i montują sobie w salonach. Społeczeństwo idiocieje w zastraszającym tempie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: