Kiinalaiset tutkijat löysivät 14 haavoittuvuutta useiden ajoneuvojen tietokoneista BMW ajoneuvoja, jolloin autonvalmistaja alkaa julkaista tietoturvakorjauksia langattomasti ja jälleenmyyjäverkostojen kautta. Nämä puutteet vaikuttavat BMW: n i-sarjan, X1 sDriven, 5-sarjan ja 7-sarjan mallien infotainment-yksikköön, telematiikkaohjaimiin ja langattomiin tietoliikennejärjestelmiin, jotka ovat peräisin vuodelta 2012. Neljä löydetyistä haavoittuvuuksista edellyttää hakkereilta fyysistä USB-yhteyttä autoon, kun taas kuutta haavoittuvuudesta voidaan hyödyntää etänä. Viimeiset neljä haavoittuvuutta vaativat fyysisen pääsyn auton tietokoneeseen.
"Tutkimustuloksemme ovat osoittaneet, että on mahdollista saada paikallis- ja etäkäyttö tietoviihde-, T-Box-komponentteihin ja UDS-palveluihin tiedonsiirto tietyn nopeuden yläpuolella [joille] valituille BMW-ajoneuvomoduuleille ja pystyi hallitsemaan CAN-väyliä suorituksen aikana mielivaltaisista, luvattomista diagnostiikkapyynnöistä BMW-auton järjestelmissä etäältä", Tencentin Keen Security Labin tutkijat kirjoittivat. jonkin sisällä
alustava raportti, huomauttaa, että täydellinen raportti olisi saatavilla joskus vuonna 2019, jotta BMW ehtii korjata puutteet.Suositellut videot
Lisäksi, jos hakkereilla on pääsy ajoneuvoon fyysisesti, USB-, Ethernet- ja OBD-II-portteja voidaan myös hyödyntää. Koska USB Ethernet -liitännällä ei ole suojausrajoituksia, sitä voidaan käyttää pääsyyn pääyksikön Internet-verkkoon ja havaita paljastuneet sisäiset palvelut porttiskannauksen avulla, raportoi sanoi. Hakkerit voivat myös käyttää USB-tikkua syöttääkseen haitallista koodia BMW: n ConnectedDriveen hankkimalla hu-intel-järjestelmän päähallinnan.
Liittyvät
- BMW kuljettaa autoja ilman mainostettuja Applen ja Googlen ominaisuuksia
- Arlo Security System tuo all-in-one-toiminnallisuuden monisensorinsa ansiosta
- Päivitä Google Chrome nyt korjataksesi tämä tärkeä tietoturvavirhe
Hakkerit voivat myös laukaista koodin etäsuorittamisen, jos heillä ei ole pääsyä ajoneuvoon käyttämällä muistin vioittumista haavoittuvuuksia, joiden ansiosta käyttäjät voivat ohittaa laiteohjelmiston allekirjoitusten suojauksen ja katkaista eri järjestelmien suojatun eristyksen komponentit. (Vuonna 2015 14-vuotias hakkeroi auton 15 dollarin arvoisella tekniikalla käyttämällä samanlaista tekniikkaa.) Saavuttamalla pääsyn CAN-väyliin, hyökkääjä voi etäkäynnistää kaukosäätimen diagnostisia toimintoja hyödyntämällä useiden haavoittuvuuksien ketjua useissa haavoittuvissa ajoneuvoissa komponentit. Hakkerit voivat lähettää mielivaltaisia diagnostiikkatietoja moottorin tietokoneelle. Vaara tutkijoiden mukaan on, että moottorin ohjausyksikkö eli ECU reagoi edelleen vianmääritykseen viestejä jopa normaaleissa ajonopeuksissa, ja "paljon huonommaksi tulee, jos hyökkääjät käyttävät jotain erityistä UDS: ää rutiinit."
"Ketjaamalla haavoittuvuudet yhteen pystymme etäältä vaarantamaan NBT: n [autotietokoneen]", tutkijat sanoivat. "Sen jälkeen voimme myös hyödyntää joitakin erityisiä etädiagnoosiliitäntöjä, jotka on toteutettu Central Gateway Module -moduulissa, jotta voimme lähettää mielivaltaisia diagnostiikkaviestejä (UDS) ohjaamaan ECU: ita eri CAN-väylillä."
Lausunnossa ZDNet, BMW Group totesi, että tutkimus tehtiin yhdessä BMW: n kyberturvatiimin kanssa ja korosti, että "kolmannet osapuolet niillä on yhä tärkeämpi rooli autojen turvallisuuden parantamisessa, kun he tekevät omia perusteellisia testejä tuotteilleen ja palveluilleen.
Toimittajien suositukset
- M1:ssä on suuri tietoturvareikä, jota Apple ei voi korjata
- BMW esittelee sähköautoa väriä vaihtavalla maalilla CES 2022 -messuilla
- Kuinka Applen tiukka tuoteekosysteemi voi heikentää sen omaa turvallisuutta
- Dell-kannettavassasi saattaa olla tietoturvaheikkous. Näin voit korjata sen.
- Nvidia varoittaa grafiikkasuorittimiensa omistajia vaarallisesta tietoturvahaavoittuvuudesta
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.