HackerNews 编译,转载请注明出处:
卡巴斯基日前披露了梅赛德斯-奔驰MBUX车载信息娱乐系统中发现的十多个漏洞,虽然这些漏洞已经被修复,且不易被利用,但梅赛德斯-奔驰仍向用户保证,漏洞已得到修复。
卡巴斯基对梅赛德斯-奔驰MBUX系统的研究基于2021年由中国团队发布的研究成果。卡巴斯基在其博客中发布了相关发现,并开始发布针对每个漏洞的安全建议。此次研究聚焦于第一代MBUX系统。
其中,部分漏洞可被利用发起拒绝服务(DoS)攻击,另一些则可用于获取数据、命令注入和提升权限。
卡巴斯基表示,已经演示了物理访问目标车辆的攻击者如何利用其中一些漏洞禁用车载系统的防盗保护、对车辆进行调校,并解锁付费服务。这些攻击通过USB或定制的UPC连接实施。
这些漏洞已被分配了2023年和2024年的CVE标识符,但梅赛德斯-奔驰向《SecurityWeek》表示,自2022年以来,公司就已知悉卡巴斯基的发现。
梅赛德斯-奔驰发言人在一份电子邮件声明中表示:“2022年8月,一组外部安全研究人员联系了我们,针对第一代MBUX(梅赛德斯-奔驰用户体验)提出了相关问题。”
“研究人员提到的问题需要对车辆进行现场物理访问,并进入车辆内部,此外,还需拆卸并打开车载系统。新版本的车载信息娱乐系统不受影响,”发言人补充道。
梅赛德斯-奔驰表示,产品和服务的安全性“高度优先”,并呼吁研究人员通过公司的漏洞披露计划报告发现的问题。
此前,研究人员披露过可被利用的漏洞,声称这些漏洞可被用于远程黑客攻击梅赛德斯-奔驰汽车。
其他与梅赛德斯-奔驰相关的网络安全问题还涉及公司IT基础设施。去年,研究人员报告称,一名梅赛德斯-奔驰员工泄露的GitHub令牌使得外界能够访问公司GitHub Enterprise服务器上存储的所有源代码。
消息来源:Security Week, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
