Kínai kutatók 14 sebezhetőséget fedeztek fel számos fedélzeti számítógépén BMW járművek, ami arra késztette az autógyártót, hogy megkezdje a biztonsági javítások kibocsátását az éteren keresztül és a kereskedői hálózatokon keresztül. Ezek a hibák az infotainment egységet, a telematikai vezérlőket és a vezeték nélküli kommunikációs rendszereket érintik a BMW i sorozatú, X1 sDrive, 5-ös és 7-es sorozatú modelljein, amelyek 2012-ig nyúlnak vissza. A felfedezett sérülékenységek közül négy esetében a hackereknek fizikai USB-hozzáféréssel kell rendelkezniük az autóhoz, hat pedig távolról is kihasználható. Az utolsó négy sebezhetőség fizikai hozzáférést igényel az autó számítógépéhez.
„Kutatási eredményeink bebizonyították, hogy lehetséges helyi és távoli hozzáférést szerezni az infotainmenthez, a T-Box komponensekhez és az UDS-hez. bizonyos sebesség feletti kommunikáció [a] kiválasztott BMW járműmodulokhoz, és a végrehajtással átveheti az irányítást a CAN buszok felett önkényes, jogosulatlan diagnosztikai kérések a BMW autós rendszereitől távolról” – írták a Tencent's Keen Security Lab kutatói. a
Ajánlott videók
Ezenkívül, ha egy hacker fizikailag hozzáfér a járműhöz, az USB, Ethernet és OBD-II portok is kihasználhatók. Mivel az USB Ethernet interfésznek nincsenek biztonsági korlátozásai, használható a hozzáféréshez a fejegység internetes hálózatát, és portszkennelés segítségével észleli a kitett belső szolgáltatásokat mondott. A hackerek egy USB-meghajtó segítségével rosszindulatú kódot is befecskendezhetnek a BMW ConnectedDrive-jába azáltal, hogy átveszik a root irányítást a hu-intel rendszer felett.
Összefüggő
- BMW autók szállítása hirdetett Apple és Google funkciók nélkül
- Az Arlo Security System multiszenzorának köszönhetően minden az egyben funkcionalitást kínál
- Frissítse a Google Chrome-ot most, hogy kijavítsa ezt a kritikus biztonsági hibát
A hackerek távoli kódfuttatást is indíthatnak, ha nem férnek hozzá egy járműhöz a memória sérülésének kihasználásával sérülékenységek, amelyek lehetővé tették a felhasználók számára, hogy megkerüljék az aláírásvédelmet a firmware-ben, és megtörjék a különböző rendszerek biztonságos elkülönítését alkatrészek. (2015-ben egy 14 éves fiú 15 dollár értékű műszakival feltört egy autót hasonló technikával.) A CAN buszokhoz való hozzáféréssel a támadó távolról is kiválthatja a távoli diagnosztikai funkciókat azáltal, hogy több érintett járműben több sebezhetőségből álló láncot hasznosít alkatrészek. A hackerek tetszőleges diagnosztikát küldhetnek a motor számítógépére. A kutatók szerint a veszély az, hogy a motorvezérlő egység, vagyis az ECU továbbra is reagál a diagnosztikára üzeneteket még normál vezetési sebesség mellett is, és „sokkal rosszabb lesz, ha a támadók valamilyen speciális UDS-t hívnak meg rutinok.”
"A sérülékenységek összeláncolásával képesek vagyunk távolról kompromittálni az NBT-t [az autós számítógépet]" - mondták a kutatók. "Ezt követően a központi átjáró modulban megvalósított speciális távoli diagnosztikai interfészek segítségével tetszőleges diagnosztikai üzeneteket (UDS) küldhetünk a különböző CAN buszokon lévő ECU-k vezérléséhez."
Egy nyilatkozatban ZDNet, a BMW Group megjegyezte, hogy a kutatást a BMW kiberbiztonsági csapatával közösen végezték, kiemelve, hogy „harmadik felek egyre fontosabb szerepet játszanak az autók biztonságának javításában, mivel saját maguk végzik el a termékek és szolgáltatások alapos tesztelését.”
Szerkesztői ajánlások
- Az M1-nek van egy nagy biztonsági rése, amelyet az Apple nem tud befoltozni
- Színváltós fényezéssel ellátott elektromos autót mutat be a BMW a 2022-es CES-en
- Hogyan áshatja alá saját biztonságát az Apple szűkös termékökológiai rendszere
- Lehetséges, hogy Dell laptopja biztonsági rést tartalmaz. A következőképpen javíthatja ki.
- Az Nvidia veszélyes biztonsági résre figyelmezteti GPU-inak tulajdonosait
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
