賓士聯手資安業者,強化車用系統資安防護

Mercedes-Benz 的總公司戴姆勒(Daimler)於 2020 年 12 月與騰訊安全科恩實驗室(Tencent Security Keen Lab)合作,進行搭載在各款 Mercedes-Benz 乘用車內的資訊娛樂系統 Mercedes-Benz User Experience(MBUX)的預防性檢查,加強系統的資安防護。

研究人員檢測出五個資安漏洞,其中四個屬於可讓駭侵者遠端執行任意程式碼的嚴重漏洞。

五個資安漏洞 CVE 編號為 CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910,可以讓外部駭侵者在其資訊娛樂系統上遠端執行任意程式碼,但無法介入汽車的實體功能,如控制方向盤或剎車系統。

這些資安漏洞存於 Mercedes-Benz 自 2018 年起開始搭載於 A-Class 車系,現已成為所有 Mercedes-Benz 乘用車系車內標準配備的 MBUX 資訊娛樂系統之內。

研究報告指出,這些漏洞存在的主因,是因為 MBUX 採用的 Linux 系統核心版本過於老舊,無法防禦特定攻擊手法;駭侵者可能透過 MBUX 使用的瀏覽器 Javascript 引擎、WiFi 晶片原本就有的缺陷、藍牙連線堆疊、USB 連線功能和第三方應用程式等方式,來攻擊這些漏洞。

研究人員在報告中指出,在成功利用這些漏洞後,研究人員成功建立一個可持續執行的 web shell,擁有 root 權限,可以解除汽車的防盜系統、注入持續執行的後門,並可以控制車內的照明、遮陽罩等設備,但無法控制車輛的行駛機能。

在 2020 年 11 月 進行預防性檢查後,已於 2021 年 1 月發布資安更新。

  • CVE編號:CVE-2021-23906、CVE-2021-23907、CVE-2021-23908、CVE-2021-23909、CVE-2021-23910
  • 影響產品/版本:Mercedes-Benz 全乘用車系
  • 解決方案:Mercedes-Benz 已於 2021 年 1 月發布資安更新版本

相關連結

  1. TWCERT/CC
  2. Mercedes-Benz MBUX Security Research Report
  3. Collaboration of Mercedes-Benz and Tencent Security Keen Lab to strengthen car IT security
  4. Researchers Find Exploitable Bugs in Mercedes-Benz Cars
  5. Tencent Security Keen Lab: Experimental Security Assessment of Mercedes-Benz Cars
Scroll to Top