14 ελαττώματα ασφαλείας της BMW επιτρέπουν στους χάκερ να επιτίθενται εξ αποστάσεως σε οχήματα

BMW X4 2019 (Ευρωπαϊκή έκδοση)

Κινέζοι ερευνητές ανακάλυψαν 14 τρωτά σημεία στους ενσωματωμένους υπολογιστές πολλών BMW οχήματα, οδηγώντας την αυτοκινητοβιομηχανία να αρχίσει να εκδίδει ενημερώσεις κώδικα ασφαλείας μέσω του αέρα και μέσω δικτύων αντιπροσώπων. Αυτά τα ελαττώματα επηρεάζουν τη μονάδα infotainment, τα τηλεματικά συστήματα ελέγχου και τα συστήματα ασύρματης επικοινωνίας στα μοντέλα της BMW Series i, X1 sDrive, 5 Series και 7 Series που χρονολογούνται ήδη από το 2012. Τέσσερα από τα τρωτά σημεία που ανακαλύφθηκαν απαιτούν από τους χάκερ να έχουν φυσική πρόσβαση USB στο αυτοκίνητο, ενώ έξι από τα τρωτά σημεία μπορούν να αξιοποιηθούν εξ αποστάσεως. Τα τελευταία τέσσερα τρωτά σημεία απαιτούν φυσική πρόσβαση στον υπολογιστή του αυτοκινήτου.

«Τα ευρήματα της έρευνάς μας απέδειξαν ότι είναι εφικτό να αποκτήσουμε τοπική και απομακρυσμένη πρόσβαση σε infotainment, εξαρτήματα T-Box και UDS επικοινωνία πάνω από ορισμένη ταχύτητα [για] επιλεγμένες μονάδες οχημάτων BMW και μπόρεσε να αποκτήσει τον έλεγχο των λεωφορείων CAN με την εκτέλεση αυθαίρετων, μη εξουσιοδοτημένων διαγνωστικών αιτημάτων για συστήματα αυτοκινήτου BMW εξ αποστάσεως», έγραψαν οι ερευνητές στο Tencent's Keen Security Lab σε ένα

προκαταρκτική αναφορά, σημειώνοντας ότι μια πλήρης αναφορά θα είναι διαθέσιμη κάποια στιγμή μέσα στο 2019 για να δοθεί χρόνος στην BMW να διορθώσει τα ελαττώματα.

Προτεινόμενα βίντεο

Επιπλέον, εάν ένας χάκερ έχει φυσική πρόσβαση στο όχημα, οι θύρες USB, Ethernet και OBD-II θα μπορούσαν επίσης να αποτελέσουν αντικείμενο εκμετάλλευσης. Επειδή η διεπαφή USB Ethernet δεν έχει περιορισμούς ασφαλείας, θα μπορούσε να χρησιμοποιηθεί για πρόσβαση σε δίκτυο διαδικτύου της κεντρικής μονάδας και ανίχνευση των εκτεθειμένων εσωτερικών υπηρεσιών μέσω σάρωσης θυρών, η αναφορά είπε. Οι χάκερ μπορούν επίσης να χρησιμοποιήσουν ένα USB stick για να εισάγουν κακόβουλο κώδικα στο ConnectedDrive της BMW αποκτώντας τον έλεγχο του root του συστήματος hu-intel.

Σχετίζεται με

  • Η BMW αποστέλλει αυτοκίνητα χωρίς διαφημιζόμενες λειτουργίες της Apple και της Google
  • Το σύστημα ασφαλείας Arlo προσφέρει λειτουργικότητα all-in-one χάρη στον πολυαισθητήρα του
  • Ενημερώστε το Google Chrome τώρα για να επιδιορθώσετε αυτό το κρίσιμο ελάττωμα ασφαλείας

Οι χάκερ μπορούν επίσης να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα εάν δεν έχουν πρόσβαση σε ένα όχημα εκμεταλλευόμενοι την καταστροφή της μνήμης ευπάθειες που επέτρεπαν στους χρήστες να παρακάμψουν την προστασία υπογραφής στο υλικολογισμικό και να σπάσουν την ασφαλή απομόνωση διαφόρων συστημάτων συστατικά. (Το 2015, ένας 14χρονος χακάρισε ένα αυτοκίνητο με τεχνολογία αξίας 15 δολαρίων χρησιμοποιώντας παρόμοια τεχνική.) Με την απόκτηση πρόσβασης σε λεωφορεία CAN, ένας εισβολέας μπορεί να ενεργοποιήσει απομακρυσμένα το τηλεχειριστήριο διαγνωστικές λειτουργίες αξιοποιώντας μια αλυσίδα πολλαπλών τρωτών σημείων σε πολλά επηρεαζόμενα οχήματα συστατικά. Οι χάκερ μπορούν να στείλουν αυθαίρετα διαγνωστικά στον υπολογιστή του κινητήρα. Ο κίνδυνος, σύμφωνα με τους ερευνητές, είναι ότι η μονάδα ελέγχου κινητήρα, ή ECU, θα εξακολουθεί να ανταποκρίνεται στα διαγνωστικά μηνύματα ακόμη και σε κανονικές ταχύτητες οδήγησης και «θα γίνει πολύ χειρότερο εάν οι εισβολείς επικαλεστούν κάποιο ειδικό UDS ρουτίνες."

«Συνδυάζοντας τα τρωτά σημεία μαζί, είμαστε σε θέση να θέσουμε σε κίνδυνο εξ αποστάσεως τον NBT [υπολογιστή αυτοκινήτου]», είπαν οι ερευνητές. «Μετά από αυτό, μπορούμε επίσης να αξιοποιήσουμε ορισμένες ειδικές διεπαφές απομακρυσμένης διάγνωσης που υλοποιούνται στη μονάδα Central Gateway για την αποστολή αυθαίρετων διαγνωστικών μηνυμάτων (UDS) για τον έλεγχο των ECU σε διαφορετικούς διαύλους CAN».

Σε δήλωση προς ZDNet, το BMW Group σημείωσε ότι η έρευνα διεξήχθη σε συνδυασμό με την ομάδα κυβερνοασφάλειας της BMW, τονίζοντας ότι «τρίτα μέρη διαδραματίζουν όλο και περισσότερο κρίσιμο ρόλο στη βελτίωση της ασφάλειας των αυτοκινήτων καθώς διεξάγουν τις δικές τους σε βάθος δοκιμές προϊόντων και υπηρεσιών».

Συστάσεις των συντακτών

  • Το M1 έχει ένα σημαντικό κενό ασφαλείας που η Apple δεν μπορεί να επιδιορθώσει
  • Η BMW επιδεικνύει ένα ηλεκτρικό αυτοκίνητο με χρώμα που αλλάζει χρώμα στην CES 2022
  • Πώς το στενό οικοσύστημα προϊόντων της Apple μπορεί να υπονομεύσει τη δική της ασφάλεια
  • Ο φορητός υπολογιστής Dell ενδέχεται να έχει ευπάθεια ασφαλείας. Δείτε πώς μπορείτε να το διορθώσετε.
  • Η Nvidia προειδοποιεί τους κατόχους των GPU της για μια επικίνδυνη ευπάθεια ασφαλείας

Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.