Kineski istraživači otkrili su 14 ranjivosti na ugrađenim računalima brojnih BMW vozila, što je dovelo do toga da proizvođač automobila počne izdavati sigurnosne zakrpe bežičnim putem i putem prodajnih mreža. Ovi nedostaci utječu na infotainment jedinicu, telematske kontrole i bežične komunikacijske sustave na BMW-ovim modelima serije i, X1 sDrive, serije 5 i serije 7 koji datiraju još iz 2012. godine. Četiri od otkrivenih ranjivosti zahtijevaju od hakera fizički USB pristup automobilu, dok se šest ranjivosti može iskoristiti na daljinu. Posljednje četiri ranjivosti zahtijevaju fizički pristup računalu automobila.
“Naša istraživanja pokazala su da je izvedivo dobiti lokalni i daljinski pristup infotainmentu, T-Box komponentama i UDS-u komunikacija iznad određene brzine [za] odabrane module BMW vozila i uspjeli steći kontrolu nad CAN sabirnicama s izvršenjem proizvoljnih, neovlaštenih dijagnostičkih zahtjeva BMW sustava u automobilu na daljinu," napisali su istraživači Tencentovog Keen Security Laba u
preliminarno izvješće, uz napomenu da će potpuno izvješće biti dostupno negdje 2019. kako bi se BMW-u dalo vremena da popravi nedostatke.Preporučeni videozapisi
Osim toga, ako haker ima fizički pristup vozilu, USB, Ethernet i OBD-II priključci također mogu biti iskorišteni. Budući da USB Ethernet sučelje nema sigurnosna ograničenja, može se koristiti za pristup internetsku mrežu glavne jedinice i otkrivanje izloženih internih usluga putem skeniranja portova, izvješće rekao je. Hakeri također mogu koristiti USB stick za ubacivanje zlonamjernog koda u BMW-ov ConnectedDrive dobivanjem root kontrole nad hu-intel sustavom.
Povezano
- BMW isporučuje automobile bez oglašenih Apple i Google značajki
- Sigurnosni sustav Arlo donosi sveobuhvatnu funkcionalnost zahvaljujući multisenzoru
- Ažurirajte Google Chrome sada kako biste zakrpali ovaj kritični sigurnosni propust
Hakeri također mogu pokrenuti daljinsko izvršavanje koda ako nemaju pristup vozilu iskorištavanjem oštećenja memorije ranjivosti koje su korisnicima omogućile zaobilaženje zaštite potpisa u firmveru i probijanje sigurne izolacije različitih sustava komponente. (2015. 14-godišnjak je hakirao auto s 15 dolara vrijednom tehnikom koristeći sličnu tehniku.) Dobivanjem pristupa CAN sabirnicama napadač može daljinski pokrenuti daljinski dijagnostičke funkcije iskorištavanjem lanca višestrukih ranjivosti na nekoliko pogođenih vozila komponente. Hakeri mogu poslati proizvoljnu dijagnostiku računalu motora. Opasnost je, prema istraživačima, da će upravljačka jedinica motora, ili ECU, i dalje reagirati na dijagnostiku poruke čak i pri normalnim brzinama vožnje, a “postat će puno gore ako napadači pozovu neki poseban UDS rutine."
"Spajanjem ranjivosti zajedno, u mogućnosti smo daljinski kompromitirati NBT [automobilsko računalo]", rekli su istraživači. "Nakon toga, također možemo iskoristiti neka posebna sučelja za daljinsku dijagnostiku implementirana u središnjem pristupnom modulu za slanje proizvoljnih dijagnostičkih poruka (UDS) za kontrolu ECU-ova na različitim CAN sabirnicama."
U izjavi za ZDNet, BMW Grupa je napomenula da je istraživanje provedeno u suradnji s BMW-ovim timom za kibersigurnost, ističući da "treće strane sve više igraju ključnu ulogu u poboljšanju sigurnosti automobila jer provode vlastita dubinska testiranja proizvoda i usluga.”
Preporuke urednika
- M1 ima veliku sigurnosnu rupu koju Apple ne može zakrpati
- BMW pokazuje električni automobil s bojom koja mijenja boju na CES-u 2022
- Kako Appleov čvrsti ekosustav proizvoda može potkopati vlastitu sigurnost
- Vaše prijenosno računalo Dell možda ima sigurnosnu ranjivost. Evo kako to popraviti.
- Nvidia upozorava vlasnike svojih GPU-ova na opasnu sigurnosnu ranjivost
Nadogradite svoj stil životaDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.