14 failles de sécurité BMW permettent aux pirates d'attaquer des véhicules à distance

BMW X4 2019 (version européenne)

Des chercheurs chinois ont découvert 14 vulnérabilités sur les ordinateurs de bord de plusieurs BMW véhicules, ce qui a conduit le constructeur automobile à commencer à publier des correctifs de sécurité par voie hertzienne et via les réseaux de concessionnaires. Ces failles affectent l'unité d'infodivertissement, les commandes télématiques et les systèmes de communication sans fil des modèles BMW Série i, X1 sDrive, Série 5 et Série 7 datant d'aussi loin que 2012. Quatre des vulnérabilités découvertes nécessitent que les pirates disposent d'un accès USB physique à la voiture, tandis que six des vulnérabilités peuvent être exploitées à distance. Les quatre dernières vulnérabilités nécessitent un accès physique à l’ordinateur de la voiture.

« Les résultats de nos recherches ont prouvé qu'il est possible d'obtenir un accès local et à distance à l'infodivertissement, aux composants de la T-Box et à l'UDS. communication au-dessus d'une certaine vitesse [pour] les modules de véhicules BMW sélectionnés et pu prendre le contrôle des bus CAN avec l'exécution de demandes de diagnostic arbitraires et non autorisées des systèmes embarqués BMW à distance », ont écrit les chercheurs du Keen Security Lab de Tencent. dans un

rapport préliminaire, notant qu'un rapport complet serait disponible courant 2019 pour laisser à BMW le temps de corriger les failles.

Vidéos recommandées

De plus, si un pirate informatique a physiquement accès au véhicule, les ports USB, Ethernet et OBD-II pourraient également être exploités. Étant donné que l'interface USB Ethernet n'a pas de restrictions de sécurité, elle peut être utilisée pour accéder au réseau Internet de l'unité principale et détecter les services internes exposés grâce à l'analyse des ports, le rapport dit. Les pirates peuvent également utiliser une clé USB pour injecter du code malveillant dans ConnectedDrive de BMW en obtenant le contrôle racine du système hu-Intel.

En rapport

  • BMW expédie des voitures sans fonctionnalités Apple et Google annoncées
  • Le système de sécurité Arlo apporte des fonctionnalités tout-en-un grâce à son multicapteur
  • Mettez à jour Google Chrome maintenant pour corriger cette faille de sécurité critique

Les pirates peuvent également déclencher l’exécution de code à distance s’ils n’ont pas accès à un véhicule en exploitant la corruption de la mémoire. vulnérabilités qui permettaient aux utilisateurs de contourner la protection des signatures dans le micrologiciel et de briser l'isolation sécurisée de divers systèmes. Composants. (En 2015, un jeune de 14 ans a piraté une voiture avec 15 $ de technologie en utilisant une technique similaire.) En accédant aux bus CAN, un attaquant peut déclencher à distance fonctions de diagnostic en exploitant une chaîne de multiples vulnérabilités sur plusieurs véhicules concernés Composants. Les pirates peuvent envoyer des diagnostics arbitraires à l'ordinateur du moteur. Le danger, selon les chercheurs, est que l'unité de commande du moteur, ou ECU, répond toujours aux diagnostics. messages même à vitesse de conduite normale, et « cela deviendra bien pire si les attaquants invoquent des UDS spéciaux ». routines. »

"En enchaînant les vulnérabilités, nous sommes en mesure de compromettre à distance le NBT [car Computer]", ont déclaré les chercheurs. "Après cela, nous pouvons également exploiter certaines interfaces de diagnostic à distance spéciales implémentées dans le module de passerelle centrale pour envoyer des messages de diagnostic arbitraires (UDS) pour contrôler les calculateurs sur différents bus CAN."

Dans une déclaration à ZDNet, le groupe BMW a noté que la recherche a été menée en collaboration avec l'équipe de cybersécurité de BMW, soulignant que « des tiers jouent de plus en plus un rôle crucial dans l’amélioration de la sécurité automobile en effectuant leurs propres tests approfondis de produits et services.

Recommandations des rédacteurs

  • Le M1 présente une faille de sécurité majeure qu’Apple ne peut pas corriger
  • BMW présente une voiture électrique avec une peinture qui change de couleur au CES 2022
  • Comment l’écosystème restreint de produits Apple peut compromettre sa propre sécurité
  • Votre ordinateur portable Dell peut présenter une faille de sécurité. Voici comment y remédier.
  • Nvidia met en garde les propriétaires de ses GPU contre une dangereuse faille de sécurité

Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.