Bộ phận an ninh mạng Sky-Go trực thuộc Qihoo 360 đã trình diễn cách thức khai thác lỗ hổng giúp điều khiển từ xa một số chức năng trên Mercedes E-Class.
Một chiếc Mercedes E-Class. |
Theo cách này, tin tặc có thể khởi động Mercedes E-Class từ xa mà không cần chạm vào xe.
Sky-Go bắt đầu để mắt tới Mercedes-Benz từ năm 2018. Mercedes E-Class được chọn vì có hệ thống thông tin giải trí phức tạp hơn cả.
Các nhà nghiên cứu của Sky-Go còn đột nhập vào bộ điều khiển Mercedes E-Class và nhiều cơ chế quan trọng khác thông qua eSIM của xe.
Mercedes E-Class sử dụng eSIM kết nối với Internet và máy chủ bên ngoài để điều khiển từ xa một số chức năng qua ứng dụng Mercedes Me trên smartphone.
Hệ thống thông tin giải trí trên Mercedes E-Class rất phức tạp. |
Do truy vấn gửi từ ứng dụng Mercedes Me tới máy chủ không được xác thực, tin tặc có thể lợi dụng quy trình này để khóa hoặc mở khóa xe từ xa, mở hoặc đóng mui xe, bật đèn pha, hoặc kích hoạt động cơ từ xa.
Tuy nhiên, các chức năng an toàn trên Mercedes E-Class không bị ảnh hưởng bởi lỗ hổng. Nói cách khác, tin tặc không thể can thiệp được vào phần này.
Lỗ hổng được xác định ảnh hưởng tới hơn 2 triệu chiếc xe Mercedes-Benz tại Trung Quốc. Sky-Go đã báo cho Daimler từ tháng 8/2019 và hãng xe Đức đã khắc phục sai sót bảo mật một tháng sau đó.