Специалисты «Лаборатории Касперского» раскрыли подробности более десятка уязвимостей, обнаруженных в информационно-развлекательной системе Mercedes-Benz MBUX первого поколения. Автопроизводитель уверяет, что проблемы уже устранены, а эксплуатировать их было нелегко. Эксперты изучили работу головного устройства Mercedes-Benz под названием Mercedes-Benz User Experience (MBUX) и опирались на предыдущее исследование, проведенное китайскими специалистами Tencent Security Keen Lab и опубликованное в 2021 году. Исследование «Лаборатории Касперского» было сосредоточено на детальном анализе подсистем MBUX первого поколения (в реальном автомобиле Mercedes B180), которым не было уделено внимание в исследовании KeenLab: диагностика (CAN, UDS и так далее), подключения с использованием USB и специализированные протоколы межпроцессного взаимодействия (IPC). Некоторые из обнаруженных уязвимостей могли использоваться для проведения DoS-атак, другие — для извлечения данных, инъекций команд и повышения привилегий. Хотя уязвимостям были присвоены идентификаторы CVE 2023-го и 2024-го годов, в Mercedes-Benz сообщили, что знали о результатах работы «Лаборатории Касперского» с 2022 года. Соответствующие бюллетени уже опубликованы на GitHub. По словам экспертов, злоумышленник, имеющий физический доступ к автомобилю, мог использовать некоторые из этих уязвимостей для отключения штатной противоугонной защиты в головном устройстве, изменения настроек автомобиля и разблокировки платных сервисов. «В августе 2022 года группа внешних исследователей безопасности связалась с нами по поводу первого поколения MBUX — Mercedes-Benz User Experience, — сообщили СМИ представители Mercedes-Benz. — Описанные исследователями проблемы требовали физического доступа к автомобилю, а также доступа в салон автомобиля. Кроме того, необходимо снять и открыть головное устройство. Эти проблемы не затрагивают более новые версии информационно-развлекательной системы».