Peneliti Tiongkok menemukan 14 kerentanan pada sejumlah komputer yang terpasang BMW kendaraan, sehingga produsen mobil tersebut mulai mengeluarkan patch keamanan melalui udara dan melalui jaringan dealer. Kelemahan ini mempengaruhi unit infotainment, kontrol telematika, dan sistem komunikasi nirkabel pada model BMW Seri i, X1 sDrive, Seri 5, dan Seri 7 sejak tahun 2012. Empat dari kerentanan yang ditemukan mengharuskan peretas memiliki akses USB fisik ke mobil, sementara enam kerentanan dapat dieksploitasi dari jarak jauh. Empat kerentanan terakhir memerlukan akses fisik ke komputer mobil.
“Temuan penelitian kami telah membuktikan bahwa mendapatkan akses lokal dan jarak jauh ke infotainment, komponen T-Box, dan UDS adalah hal yang mungkin dilakukan. komunikasi di atas kecepatan tertentu [untuk] modul kendaraan BMW yang dipilih dan mampu mengendalikan bus CAN dengan eksekusinya permintaan diagnostik yang sewenang-wenang dan tidak sah dari sistem dalam mobil BMW dari jarak jauh,” tulis para peneliti di Keen Security Lab Tencent di sebuah
Video yang Direkomendasikan
Selain itu, jika peretas memiliki akses ke kendaraan secara fisik, port USB, Ethernet, dan OBD-II juga dapat dieksploitasi. Karena Antarmuka Ethernet USB tidak memiliki batasan keamanan, maka dapat digunakan untuk mengakses jaringan internet unit kepala dan mendeteksi layanan internal yang terpapar melalui pemindaian port, lapor dikatakan. Peretas juga dapat menggunakan stik USB untuk memasukkan kode berbahaya ke ConnectedDrive BMW dengan mendapatkan kendali root dari sistem hu-intel.
Terkait
- BMW mengirimkan mobil tanpa fitur Apple dan Google yang diiklankan
- Sistem Keamanan Arlo menghadirkan fungsionalitas lengkap berkat multisensornya
- Perbarui Google Chrome sekarang untuk menambal kelemahan keamanan penting ini
Peretas juga dapat memicu eksekusi kode jarak jauh jika mereka tidak memiliki akses ke kendaraan dengan mengeksploitasi kerusakan memori kerentanan yang memungkinkan pengguna untuk melewati perlindungan tanda tangan di firmware dan merusak isolasi aman dari berbagai sistem komponen. (Pada tahun 2015, seorang anak berusia 14 tahun meretas mobil dengan teknologi senilai $15 menggunakan teknik serupa.) Dengan mendapatkan akses ke bus CAN, penyerang dapat memicu serangan jarak jauh fungsi diagnostik dengan memanfaatkan rantai berbagai kerentanan di beberapa kendaraan yang terkena dampak komponen. Peretas dapat mengirimkan diagnosa sewenang-wenang ke komputer mesin. Bahayanya, menurut peneliti, unit kendali mesin atau ECU masih merespons diagnostik pesan bahkan pada kecepatan mengemudi normal, dan “akan menjadi jauh lebih buruk jika penyerang menggunakan UDS khusus rutinitas.”
“Dengan menyatukan kerentanan, kami dapat menyusupi NBT [komputer mobil] dari jarak jauh,” kata para peneliti. “Setelah itu, kami juga dapat memanfaatkan beberapa antarmuka diagnosis jarak jauh khusus yang diimplementasikan dalam Modul Central Gateway untuk mengirimkan pesan diagnostik arbitrer (UDS) guna mengontrol ECU pada CAN Bus yang berbeda.”
Dalam pernyataan kepada ZDNet, BMW Group mencatat bahwa penelitian tersebut dilakukan bersama dengan tim keamanan siber BMW, menyoroti bahwa “pihak ketiga semakin memainkan peran penting dalam meningkatkan keamanan otomotif saat mereka melakukan pengujian mendalam terhadap produk dan layanan.”
Rekomendasi Editor
- M1 memiliki celah keamanan besar yang tidak dapat ditambal oleh Apple
- BMW memamerkan mobil listrik dengan cat yang bisa berubah warna di CES 2022
- Bagaimana ekosistem produk Apple yang ketat dapat merusak keamanannya sendiri
- Laptop Dell Anda mungkin memiliki kerentanan keamanan. Inilah cara memperbaikinya.
- Nvidia memperingatkan pemilik GPU-nya tentang kerentanan keamanan yang berbahaya
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
