Scoperte falle nell’infotainment Mercedes-Benz: cosa impariamo

Vulnerabilità nell’infotainment MBUX di Mercedes-Benz: falle già sanate

Kaspersky ha rivelato i dettagli di oltre una dozzina di vulnerabilità scoperte in un sistema di infotainment di Mercedes-Benz. Ma la casa automobilistica, che ha collaborato per la risoluzione delle falle, ha assicurato ai clienti che le falle di sicurezza sono state sanate e non sono facili da sfruttare.

La ricerca sull’unità principale di Mercedes-Benz, chiamata Mercedes-Benz User Experience (MBUX), si è basata su una precedente ricerca condotta da un team cinese che ha divulgato le sue scoperte nel 2021.

La ricerca ha preso di mira la prima generazione di MBUX. Molte delle falle possono servire per sferrare attacchi DoS. Invece altre possono permettere di ottenere dati, di effettuare iniezione di comandi e per l’escalation dei privilegi.

Secondo Kaspersky, è stato dimostrato che un aggressore che ha accesso fisico al veicolo preso di mira può sfruttare alcune delle vulnerabilità per disabilitare le protezioni antifurto dell’unità principale, eseguire il tuning del veicolo e sbloccare i servizi a pagamento.

“Sebbene questi sistemi siano sempre più sofisticati e integrati con funzioni avanzate, come la gestione dei servizi e la comunicazione con altre componenti del veicolo, la presenza di falle che possono essere sfruttate per disabilitare le protezioni antifurto o diagnostica è un campanello d’allarme“, evidenzia Paganini.

Gli aggressori hanno condotto attacchi grazie a connessioni USB o UPC personalizzate.

I dettagli

Alle vulnerabilità sono stati assegnati gli identificativi CVE 2023 e 2024. Ma Mercedes-Benz ha dichiarato a SecurityWeek di essere a conoscenza delle scoperte di Kaspersky dal 2022.

“Nell’agosto del 2022, un team di ricercatori di sicurezza esterni ci ha contattato in merito alla prima generazione di MBUX – Mercedes-Benz User Experience”, ha detto un portavoce di Mercedes-Benz in un comunicato inviato via mail.

“L’argomento descritto dai ricercatori richiede l’accesso fisico al veicolo in loco e l’accesso all’interno del veicolo. Inoltre, l’unità principale deve essere rimossa e aperta. Le versioni più recenti del sistema di infotainment non sono interessate”, ha aggiunto il portavoce.

Come proteggersi dalle vulnerabilità in Mercedes-Benz

Mercedes-Benz ha dichiarato che la sicurezza dei suoi prodotti e servizi ha “un’alta priorità” e ha esortato i ricercatori a segnalare le scoperte attraverso il programma di divulgazione delle vulnerabilità.

In passato, alcuni ricercatori hanno rivelato vulnerabilità che, a loro dire, potevano essere sfruttate per violare da remoto le auto Mercedes-Benz.

Questa ricerca dimostra quanto sia “cruciale mettere la sicurezza dei veicoli in primo piano rispetto all’innovazione tecnologica“, continua l’ingegner Paganini: “La possibilità che un attaccante, non solo con accesso fisico, possa manipolare il sistema mina la sicurezza dei veicoli, e pone anche interrogativi sulla gestione dei dati e sulla privacy degli utenti. Se un attacco sfruttasse falle come quelle trovate da Kaspersky su larga scala, le conseguenze potrebbero essere gravi“.

Altre scoperte di cybersecurity in passato hanno avuto un impatto sull’infrastruttura IT della casa automobilistica. Un anno fa, i ricercatori hanno riferito che un token GitHub trapelato da un dipendente di Mercedes-Benz forniva l’accesso a tutto il codice sorgente memorizzato sul server GitHub Enterprise dell’azienda.

“Questo studio di Kaspersky dovrebbe fungere da monito per tutti i produttori di auto“, mette in. guardia Paganini, “affinché rivedano costantemente le loro strategie di sicurezza informatica ed implementino nuove strategie di difesa per una nuova generazione di veicoli sempre più connessi al mondo circostante”.

Ma Paganini aggiungo “un plauso a Mercedes che ha collaborato con i ricercatori per la risoluzione delle falle”. La via per rendere le auto più sicure è infatti questa: massima cooperazione fra cxostruttori dell’Automotive e ricercatori della sicurezza informatica.