Команда «Лаборатории Касперского» провела детальный анализ безопасности подсистем информационно-развлекательной системы Mercedes-Benz первого поколения, расширив работу, начатую Tencent Keen Security Lab. (Важно пояснить, что системы первого поколения, хотя и не самые новые, но всё ещё активно используются в авто, так как срок службы машин большой). Исследование проводилось на реальном автомобиле Mercedes B180 с применением собственной платформы для тестирования аппаратного и программного обеспечения. Это позволило выявить архитектурные недостатки инфотейнтмент-системы и показать, как их могут использовать злоумышленники.
Одной из ключевых проблем безопасности системы Mercedes-Benz User Experience (MBUX) стало использование устаревших компонентов и протоколов взаимодействия, таких как thriftme, MoCCA и GCF. Такие элементы увеличивают поверхность атаки для потенциальных злоумышленников. Уязвимости часто возникают на стыке обработки и перекодирования данных и команд, что усложняет защиту без системного подхода. В частности, исследователи «Лаборатории Касперского» проэксплуатировали уязвимость Polkit (CVE-2021-4034), которая позволила им повысить уровень привилегий и получить административный доступ к системе.
Хотя в рамках исследования атаки ограничивались ближним периметром — физическим доступом через USB и диагностические инструменты, — оно подчеркнуло фундаментальные уязвимости, свойственные современным инфотейнмент-системам. Самая безобидная из них: владелец автомобиля может разблокировать некоторые платные функции, не заплатив за них. На более серьезном уровне уязвимости могут позволить отключить важные системы безопасности, такие как противоугонная система, подушки безопасности или системы контроля устойчивости. Это создает угрозу жизни и здоровью владельца авто и пассажиров.
Дополнительные риски создает архитектура системы, которая основывается на монолитном ядре Linux. У этой ОС 30 миллионов строк кода, что сильно усложняет выявление уязвимостей и делает систему менее защищенной к атакам на привилегированные процессы. В целом, современные инфотейнмент-системы, включая MBUX, обладают широкой функциональностью и поддерживают множество интерфейсов, включая сторонние приложения. Однако реализация таких функций, как управление точкой доступа Wi-Fi или противоугонной системой (Anti-Theft), в одном блоке с мультимедиа вызывает вопросы. Как и использование трех разных брокеров сервисов (thriftme, MoCCA, GCF). Всё это усложняет задачу защиты системы.
По мнению специалистов KasperskyOS, которые занимаются разработкой систем для защиты современных подключенных автомобилей, целесообразно выделить функции безопасности, унифицировать брокеры сервисов и реализовать сетевой шлюз в отдельном компоненте на базе более защищенной операционной системы, например, такой как KasperskyOS. Этот подход позволяет минимизировать поверхность атаки и упростить аудит кодовой базы, обеспечивая высокий уровень доверия к критически важным функциям автомобиля. Всё это уже реализовано в продукте Kaspersky Automotive Secure Gateway (KASG), который контролирует доступ к функциям автомобиля, связь с облаком и другие важные интерфейсы через отдельный блок Secure Gateway.
Доверенная загрузка (Secure Boot). KASG обеспечивает проверку статуса загрузки всех критически важных компонентов, включая маршрутизацию CAN-трафика. Это предотвращает возможность атак на кузовные блоки и защищает критические функции автомобиля от вмешательства.
Маршрутизация UDS. Использование современных механизмов авторизации, таких как SID 0×29 и Digital Key, в маршрутизации диагностических запросов значительно снижает риск эксплуатации уязвимостей в системе. Этот подход превосходит устаревшие методы, используемые в первом поколении системы MBUX.
Интеграция с Vehicle SOC. KASG позволяет передавать данные о попытках атак в центр мониторинга. Любые нарушения Verified Boot или несанкционированные доступы оперативно фиксируются и передаются в SIEM-систему, что обеспечивает быстрое реагирование аналитиков безопасности.
Обновления OTA. KASG поддерживает централизованное обновление компонентов, что позволяет своевременно устранять уязвимости. Это минимизирует риск повторных атак, обеспечивая оперативную защиту всего автопарка.
Подход к разработке, основанный на принципах конструктивной безопасности, реализованный в KasperskyOS, позволяет эффективно изолировать критически важные компоненты системы и минимизировать поверхность атаки. Принципы изоляции доменов, контроля их взаимодействия и минимизации доверенной кодовой базы обеспечивают высокий уровень устойчивости системы к атакам. Мы называем такой подход кибериммунным.
Например, если бы MBUX был построен на KasperskyOS, то уязвимость Polkit не могла бы быть эксплуатирована, так как доступ к привилегированным процессам был бы строго изолирован. Аналогично, использование KASG для управления функциями безопасности позволило бы защитить автомобиль от атак на противоугонную систему или платные функции.
Очевидно, что современные инфотейнмент-системы нуждаются в пересмотре подходов к безопасности. Устаревшие технологии и недостаточная изоляция привилегий делают системы уязвимыми к атакам, что угрожает как функциональности автомобилей, так и их владельцам. KasperskyOS и Kaspersky Automotive Secure Gateway демонстрируют, как можно решить эти проблемы, обеспечивая высокий уровень доверия к критически важным функциям автомобиля. Их использование позволяет не только минимизировать риски, но и упростить управление безопасностью, делая современные автомобили более надежными и защищенными.
Команда «Лаборатории Касперского» провела детальный анализ безопасности подсистем информационно-развлекательной системы Mercedes-Benz первого поколения, расширив работу, начатую Tencent Keen Security Lab. (Важно пояснить, что системы первого поколения, хотя и не самые новые, но всё ещё активно используются в авто, так как срок службы машин большой). Исследование проводилось на реальном автомобиле Mercedes B180 с применением собственной платформы для тестирования аппаратного и программного обеспечения. Это позволило выявить архитектурные недостатки инфотейнтмент-системы и показать, как их могут использовать злоумышленники.
Одной из ключевых проблем безопасности системы Mercedes-Benz User Experience (MBUX) стало использование устаревших компонентов и протоколов взаимодействия, таких как thriftme, MoCCA и GCF. Такие элементы увеличивают поверхность атаки для потенциальных злоумышленников. Уязвимости часто возникают на стыке обработки и перекодирования данных и команд, что усложняет защиту без системного подхода. В частности, исследователи «Лаборатории Касперского» проэксплуатировали уязвимость Polkit (CVE-2021-4034), которая позволила им повысить уровень привилегий и получить административный доступ к системе.
Хотя в рамках исследования атаки ограничивались ближним периметром — физическим доступом через USB и диагностические инструменты, — оно подчеркнуло фундаментальные уязвимости, свойственные современным инфотейнмент-системам. Самая безобидная из них: владелец автомобиля может разблокировать некоторые платные функции, не заплатив за них. На более серьезном уровне уязвимости могут позволить отключить важные системы безопасности, такие как противоугонная система, подушки безопасности или системы контроля устойчивости. Это создает угрозу жизни и здоровью владельца авто и пассажиров.
Дополнительные риски создает архитектура системы, которая основывается на монолитном ядре Linux. У этой ОС 30 миллионов строк кода, что сильно усложняет выявление уязвимостей и делает систему менее защищенной к атакам на привилегированные процессы. В целом, современные инфотейнмент-системы, включая MBUX, обладают широкой функциональностью и поддерживают множество интерфейсов, включая сторонние приложения. Однако реализация таких функций, как управление точкой доступа Wi-Fi или противоугонной системой (Anti-Theft), в одном блоке с мультимедиа вызывает вопросы. Как и использование трех разных брокеров сервисов (thriftme, MoCCA, GCF). Всё это усложняет задачу защиты системы.
По мнению специалистов KasperskyOS, которые занимаются разработкой систем для защиты современных подключенных автомобилей, целесообразно выделить функции безопасности, унифицировать брокеры сервисов и реализовать сетевой шлюз в отдельном компоненте на базе более защищенной операционной системы, например, такой как KasperskyOS. Этот подход позволяет минимизировать поверхность атаки и упростить аудит кодовой базы, обеспечивая высокий уровень доверия к критически важным функциям автомобиля. Всё это уже реализовано в продукте Kaspersky Automotive Secure Gateway (KASG), который контролирует доступ к функциям автомобиля, связь с облаком и другие важные интерфейсы через отдельный блок Secure Gateway.
Доверенная загрузка (Secure Boot). KASG обеспечивает проверку статуса загрузки всех критически важных компонентов, включая маршрутизацию CAN-трафика. Это предотвращает возможность атак на кузовные блоки и защищает критические функции автомобиля от вмешательства.
Маршрутизация UDS. Использование современных механизмов авторизации, таких как SID 0×29 и Digital Key, в маршрутизации диагностических запросов значительно снижает риск эксплуатации уязвимостей в системе. Этот подход превосходит устаревшие методы, используемые в первом поколении системы MBUX.
Интеграция с Vehicle SOC. KASG позволяет передавать данные о попытках атак в центр мониторинга. Любые нарушения Verified Boot или несанкционированные доступы оперативно фиксируются и передаются в SIEM-систему, что обеспечивает быстрое реагирование аналитиков безопасности.
Обновления OTA. KASG поддерживает централизованное обновление компонентов, что позволяет своевременно устранять уязвимости. Это минимизирует риск повторных атак, обеспечивая оперативную защиту всего автопарка.
Подход к разработке, основанный на принципах конструктивной безопасности, реализованный в KasperskyOS, позволяет эффективно изолировать критически важные компоненты системы и минимизировать поверхность атаки. Принципы изоляции доменов, контроля их взаимодействия и минимизации доверенной кодовой базы обеспечивают высокий уровень устойчивости системы к атакам. Мы называем такой подход кибериммунным.
Например, если бы MBUX был построен на KasperskyOS, то уязвимость Polkit не могла бы быть эксплуатирована, так как доступ к привилегированным процессам был бы строго изолирован. Аналогично, использование KASG для управления функциями безопасности позволило бы защитить автомобиль от атак на противоугонную систему или платные функции.
Очевидно, что современные инфотейнмент-системы нуждаются в пересмотре подходов к безопасности. Устаревшие технологии и недостаточная изоляция привилегий делают системы уязвимыми к атакам, что угрожает как функциональности автомобилей, так и их владельцам. KasperskyOS и Kaspersky Automotive Secure Gateway демонстрируют, как можно решить эти проблемы, обеспечивая высокий уровень доверия к критически важным функциям автомобиля. Их использование позволяет не только минимизировать риски, но и упростить управление безопасностью, делая современные автомобили более надежными и защищенными.