Čínští vědci objevili 14 zranitelností na palubních počítačích řady z nich BMW vozidel, což vede automobilku k zahájení vydávání bezpečnostních záplat bezdrátově a prostřednictvím sítí prodejců. Tyto nedostatky ovlivňují jednotku infotainmentu, telematické ovládání a bezdrátové komunikační systémy u modelů BMW řady i, X1 sDrive, řady 5 a řady 7 z roku 2012. Čtyři z odhalených zranitelností vyžadují, aby hackeři měli fyzický USB přístup k vozidlu, zatímco šest zranitelností lze zneužít na dálku. Poslední čtyři zranitelnosti vyžadují fyzický přístup k počítači automobilu.
„Naše výsledky výzkumu prokázaly, že je možné získat místní a vzdálený přístup k infotainmentu, komponentám T-Box a UDS. komunikaci nad určitou rychlostí [pro] vybrané moduly vozidel BMW a byli schopni získat kontrolu nad sběrnicemi CAN s prováděním svévolných, neautorizovaných žádostí o diagnostiku systémů BMW na dálku,“ napsali vědci z Keen Security Lab společnosti Tencent. v předběžná zprávas tím, že úplná zpráva bude k dispozici někdy v roce 2019, aby měla BMW čas na opravu nedostatků.
Doporučená videa
Kromě toho, pokud má hacker fyzický přístup k vozidlu, mohou být zneužity také porty USB, Ethernet a OBD-II. Protože rozhraní USB Ethernet nemá bezpečnostní omezení, lze jej použít pro přístup k internetovou síť hlavní jednotky a detekovat exponované interní služby pomocí skenování portů, hlásí řekl. Hackeři mohou také použít USB klíč k vložení škodlivého kódu do BMW ConnectedDrive tím, že získají root kontrolu nad systémem hu-intel.
Příbuzný
- BMW dodává auta bez inzerovaných funkcí Apple a Google
- Bezpečnostní systém Arlo přináší funkce vše v jednom díky svému multisenzoru
- Aktualizujte Google Chrome a opravte tuto kritickou bezpečnostní chybu
Hackeři mohou také spustit vzdálené spuštění kódu, pokud nemají přístup k vozidlu, tím, že zneužijí poškození paměti zranitelnosti, které uživatelům umožňovaly obejít ochranu podpisů ve firmwaru a prolomit bezpečnou izolaci různých systémů komponenty. (V roce 2015 14letý hacknul auto s technikou v hodnotě 15 dolarů pomocí podobné techniky.) Získáním přístupu ke sběrnicím CAN může útočník vzdáleně spouštět diagnostické funkce využitím řetězce více zranitelných míst v několika postižených vozidlech komponenty. Hackeři mohou posílat libovolnou diagnostiku do počítače motoru. Nebezpečí podle výzkumníků spočívá v tom, že řídicí jednotka motoru neboli ECU bude stále reagovat na diagnostiku zprávy i při normální rychlosti jízdy a „bude mnohem horší, pokud útočníci vyvolají nějaké speciální UDS rutiny.”
„Zřetězením zranitelností dohromady jsme schopni na dálku kompromitovat NBT [počítač v autě],“ uvedli vědci. "Poté můžeme také využít některá speciální rozhraní pro vzdálenou diagnostiku implementovaná v modulu centrální brány k odesílání libovolných diagnostických zpráv (UDS) pro ovládání ECU na různých sběrnicích CAN."
V prohlášení k ZDNetBMW Group poznamenala, že výzkum byl proveden ve spolupráci s týmem BMW pro kybernetickou bezpečnost a zdůraznil, že „třetí strany stále více hrají klíčovou roli při zlepšování zabezpečení automobilů, protože provádějí své vlastní hloubkové testy produktů a služeb.“
Doporučení redakce
- M1 má velkou bezpečnostní mezeru, kterou Apple nemůže opravit
- BMW na CES 2022 předvádí elektromobil s barevně měnícím lakem
- Jak úzký ekosystém produktů společnosti Apple může podkopat jeho vlastní bezpečnost
- Váš notebook Dell může mít bezpečnostní chybu. Zde je návod, jak to opravit.
- Nvidia varuje majitele svých GPU před nebezpečnou bezpečnostní chybou
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.