19 sårbarheder lod hackere fjernstyre en Mercedes-Benz E-Klasse
I takt med at biler bliver smartere og mere internetforbundne, øges risikoen også for, at hackere med onde intentioner kan gøre stor skade, hvis sikkerheden i bilernes teknik halter.
Det skete for nylig for en af Mercedes-Benz’ biler i E-Klassen, skriver TechCrunch.
Ved dette års Black Hat-sikkerhedskonference præsenterede sikkerhedseksperter fra Sky-Go Team under firmaet Qihoo 360 et vellykket forsøg på at hacke en Mercedes-Benz E-Klasse. En række sikkerhedshuller i bilen tillod dem ikke kun at åbne dørene, men også at starte bilen uden at være i nærheden af den.
Den internetforbindelse, som mange nyere biler er udstyret med til bl.a. navigation, øger dog risikoen for, at bilerne bliver udsat for alvorlige hackerangreb, hvis der bliver fundet og misbrugt tilstrækkeligt mange sårbarheder i bilerne.
Læs også: Det nye Apple Maps planlægger ruten i elbil
19 sårbarheder i Mercedes-Benz’ seneste E-Klasse
Netop dette skete, da hackerne forsøgte at trænge gennem sikkerhedsforanstaltningerne i Mercedes-Benz’ seneste E-Klasse. Det var nemlig en serie af 19 forskellige sårbarheder, der førte til, at hackerne i sidste ende kunne fjernstyre bilen.
Hackerne lavede et testmiljø, hvor de dekompilerede bilens forskellige komponenter i et forsøg på at finde sårbarheder. De overførte også hele bilens firmware og analyserede den for sårbarheder.
Sårbarhederne viste sig at være i bilens såkaldte telematic control unit (TCU), som kontrollerer al tracking af bilen og bl.a. også håndterer al internetkommunikation i bilen.
Ved at rode med TCU’ens filsystem lykkedes det hackerne at opnå det såkaldte root-adgang – det vil sige den højeste grad af adgang i filsystemet, som gjorde det muligt at fjernstyre bilens døre.
Det lykkedes også hackerne at udtrække adgangskoder til forskellige certifikater, som lagres i TCU-enheden. Disse certifikater skulle ellers beskytte bilen fra at blive modificeret fra for eksempel hackere.
Sidst, men ikke mindst, formåede hackerne også at få kendskab til bilens netværksprotokoller ved at pille det integrerede SIM-kort i bilen, som gør det muligt for den at kommunikere med omverdenen, fra hinanden.
Der var dog implementeret en sikkerhedsbegrænsning, så SIM-kortet holdt op med at virke, hvis man indsatte det i en router. Det blev dog omgået ved at modificere routeren til at narre bilen, så mobilnetværket troede, at routeren var bilen.
Kombinationen af de mange forskellige sårbarheder gjorde det altså muligt for hackerne at fjernstyre bilen. Noget der ifølge gruppen berører helt op mod to millioner internetforbundne Mercedes-Benz biler i Kina, hvor gruppen holder til.
Læs også: 29 populære elbilers rækkevidde sammenlignet i test
Alle 19 sårbarheder er rettet
Sky-Go Team har arbejdet på at hacke bilen i mere end et år. Gruppen gik til Daimler med resultaterne, og i et samarbejde mellem de to, som blev præsenteret i december, meldte Daimler ud, at de 19 sårbarheder var blevet rettet:
“Vi tog os af alle fundene og rettede alle sårbarheder, der kunne udnyttes, før nogen biler på markedet var berørte,” lyder det fra en talsperson.
Om den vellykkede indsats lyder det fra Sky-Go Team:
”Som et team, der fokuserer på at undersøge it-sikkerheden i biler, er det primære mål at sikre bilerne og brugernes sikkerhed. Vi håber på at arbejde med bilproducenter for at forbedre sikkerheden i opkoblede biler og beskytte brugernes og producenterne fra angreb,” siger Minrui Yan, sikkerhedschef i Sky-Go Team.
Daimler valgte at give gruppen en belønning for indsatsen.