Segurança automotiva

Especialistas revelam falhas no sistema MBUX da Mercedes-Benz

Pesquisadores identificaram vulnerabilidades no sistema MBUX da Mercedes-Benz, destacando riscos de acesso físico e controle de funções críticas. Entenda as ameaças e falhas descobertas.

mercedes-benz-e-microsoft-tornaram-possivel-a-execucao-do-chatgpt-em-seu-veiculo

Pesquisadores da Kaspersky identificaram vulnerabilidades críticas no sistema de infoentretenimento MBUX (Mercedes-Benz User Experience) de primeira geração. Esses problemas afetam diretamente a Unidade Principal do sistema, potencialmente permitindo ações como desabilitar proteções antirroubo, modificar configurações e até desbloquear serviços pagos.

A análise foi baseada em um estudo anterior do KeenLab sobre componentes internos do MBUX. Os especialistas utilizaram softwares de diagnóstico para examinar a arquitetura dos veículos, analisar a Unidade de Controle Eletrônico (ECU) e testar funções via Diagnostic Over Internet Protocol (DoIP).

Componentes do MBUX

Mercedes-Benz faz parceria com a Nvidia para veículos autônomos de última geração
A nova arquitetura será construída na plataforma Nvidia Drive e trará a computação mais sofisticada e avançada já implantada em veículos de próxima geração. Imagem: Divulgação.

O sistema MBUX é composto por vários módulos principais:

  • MMB (Multi Media Board): núcleo que abriga subsistemas principais.
  • BB (Base Board): responsável por comunicações em rede.
  • CSB (Country Specific Board): extensão do sistema conectada ao MMB via Ethernet interna.
  • Módulo RH850: facilita a comunicação entre barramentos de baixo nível.

Para os testes, os pesquisadores usaram um Mercedes B180 real e um banco de testes específico, projetado para avaliar hardware e software.

Principais vulnerabilidades descobertas

Os especialistas detectaram brechas que podem ser exploradas para realizar ataques de Negação de Serviço (DoS), injeção de comandos, elevação de privilégios e roubo de dados. Abaixo, estão algumas das falhas identificadas:

  • CVE-2024-37602, CVE-2024-37600, CVE-2024-37603, CVE-2024-37601
  • CVE-2023-34406 a CVE-2023-34404

Impactos identificados:

  1. Acesso físico: Um invasor pode desabilitar proteções antirroubo ou modificar configurações por conexões USB ou IPC personalizadas.
  2. Desbloqueio de serviços pagos: Exploração de vulnerabilidades para liberar funções adicionais no veículo sem custo.
  3. Cenários de uso malicioso: Incluem desde atividades criminosas até testes conduzidos por especialistas em segurança.

Riscos de ataques remotos

Estudos anteriores do KeenLab, realizados em 2019, já haviam identificado cinco vulnerabilidades críticas no MBUX. Esses problemas, rastreados como CVE-2021-23906 a CVE-2021-23910, incluíam falhas em funções como Wi-Fi, Bluetooth e USB.

Embora nenhuma vulnerabilidade permitisse o controle físico completo dos veículos, os pesquisadores mostraram que invasores poderiam usar bugs de software para interferir em funções específicas, como proteção antirroubo e controle de recursos de infoentretenimento.

Conclusões e recomendações

Os relatórios técnicos detalham cenários de ataques bem-sucedidos e sugerem atualizações nos sistemas para mitigar riscos. É fundamental que fabricantes, como a Mercedes-Benz, adotem medidas proativas para proteger seus sistemas e manter a segurança de seus clientes.

Para mais informações técnicas sobre as falhas identificadas, acesse o repositório oficial no GitHub: Kaspersky Security Advisories.