Hiina teadlased avastasid mitmete pardaarvutitest 14 turvaauku BMW sõidukite jaoks, mistõttu hakkas autotootja turvaplaastreid väljastama õhu kaudu ja edasimüüjate võrgustike kaudu. Need vead mõjutavad teabe- ja meelelahutusseadet, telemaatilisi juhtseadiseid ja traadita sidesüsteeme BMW i-seeria, X1 sDrive, 5. seeria ja 7. seeria mudelitel, mis pärinevad 2012. aastast. Neli avastatud turvaauku nõuavad häkkeritel füüsilist USB-juurdepääsu autole, samas kui kuut turvaauku saab kasutada eemalt. Viimased neli haavatavust nõuavad füüsilist juurdepääsu auto arvutile.
"Meie uurimistulemused on tõestanud, et teabe- ja meelelahutussüsteemile, T-Boxi komponentidele ja UDS-ile on võimalik saada kohalik ja kaugjuurdepääs. kommunikatsioon üle teatud kiiruse [valitud BMW sõidukimoodulite jaoks] ja suutis täitmisega saavutada kontrolli CAN-siinide üle BMW autosiseste süsteemide suvaliste, volitamata diagnostikapäringute eest kaugjuhtimisega,“ kirjutasid Tencenti Keen Security Labi teadlased. sees esialgne aruanne
Soovitatavad videod
Lisaks, kui häkker pääseb sõidukile füüsiliselt juurde, saab kasutada ka USB-, Etherneti- ja OBD-II porte. Kuna USB Etherneti liidesel ei ole turvapiiranguid, saab seda kasutada juurdepääsuks peaseadme Interneti-võrku ja tuvastada paljastatud siseteenused pordi skaneerimise kaudu, teatatakse ütles. Häkkerid saavad kasutada ka USB-mälupulka pahatahtliku koodi sisestamiseks BMW ConnectedDrive'i, omandades hu-inteli süsteemi juurkontrolli.
Seotud
- BMW tarnib autosid ilma reklaamitud Apple'i ja Google'i funktsioonideta
- Arlo turvasüsteem pakub kõik-ühes funktsionaalsust tänu oma multisensorile
- Selle kriitilise turvavea parandamiseks värskendage kohe Google Chrome'i
Häkkerid võivad mälukahjustusi ära kasutades käivitada ka koodi kaugkäitamise, kui neil puudub juurdepääs sõidukile haavatavused, mis võimaldasid kasutajatel püsivara allkirjakaitsest mööda minna ja erinevate süsteemide turvalise isolatsiooni katkestada komponendid. (2015. aastal 14-aastane häkkis autot 15 dollari väärtuses tehnikaga kasutades sarnast tehnikat.) Saades juurdepääsu CAN-siinidele, saab ründaja kaugjuhtimispuldi käivitada diagnostikafunktsioonid, võimendades mitme haavatavuse ahelat mitmes mõjutatud sõidukis komponendid. Häkkerid võivad saata mootori arvutisse suvalise diagnostika. Oht seisneb teadlaste sõnul selles, et mootori juhtplokk ehk ECU reageerib siiski diagnostikale sõnumeid isegi normaalsel sõidukiirusel ja "see muutub palju hullemaks, kui ründajad kutsuvad esile mõne spetsiaalse UDS-i rutiinid."
"Haavatavuste aheldamisega suudame NBT-d [autoarvuti] eemalt ohustada," ütlesid teadlased. "Pärast seda saame kasutada ka mõningaid kesklüüsi moodulis rakendatud spetsiaalseid kaugdiagnostika liideseid, et saata suvalisi diagnostikasõnumeid (UDS), et juhtida erinevate CAN-siinide ECU-sid."
Avalduses, et ZDNetBMW Group märkis, et uuring viidi läbi koostöös BMW küberjulgeoleku meeskonnaga, rõhutades, et „kolmandad osapooled etendavad üha enam otsustavat rolli autode turvalisuse parandamisel, kuna nad viivad läbi oma toodete ja teenuste põhjalikke katseid.
Toimetajate soovitused
- M1-l on suur turvalünk, mida Apple ei saa parandada
- BMW esitleb CES 2022 messil värvimuutva värviga elektriautot
- Kuidas Apple'i toodete tihe ökosüsteem võib kahjustada tema enda turvalisust
- Teie Delli sülearvutil võib olla turvaauke. Siin on, kuidas seda parandada.
- Nvidia hoiatab oma GPU-de omanikke ohtliku turvaauku eest
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
