Foram os investigadores da Tencent Security Keen Lab que descobriram, ao todo, cinco vulnerabilidades, quatro das quais podiam ser exploradas para executar código remotamente. As mesmas foram encontradas no sistema Mercedes-Benz User Experience (MBUX), de infoentretenimento, introduzido em 2018.
A estas falhas foram atribuídos os CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 e CVE-2021-23910. A partir das mesmas, os atacantes podiam obter o controlo total de algumas das funções do veículo, mas não funcionalidades como o travão e a direção.
Na raiz da falha, encontrava-se um kernel de Linux desatualizado e suscetível a ataques específicos como exposição pelo motor de Javascript do navegador e outras falhas no chip de Wi-Fi, equipamento de bluetooth, funcionalidades de USB.
Entretanto, as falhas já foram corrigidas após terem sido devidamente reportadas pelos investigadores.
Mais informações e detalhes mais técnicos das falhas no blogue dos investigadores: https://keenlab.tencent.com/en/2021/05/12/Tencent-Security-Keen-Lab-Experimental-Security-Assessment-on-Mercedes-Benz-Cars/
Opmerkingen