I ricercatori cinesi hanno scoperto 14 vulnerabilità sui computer di bordo di diversi BMW veicoli, portando la casa automobilistica a iniziare a rilasciare patch di sicurezza via etere e attraverso le reti di concessionari. Questi difetti interessano l'unità di infotainment, i controlli telematici e i sistemi di comunicazione wireless sui modelli BMW i Series, X1 sDrive, 5 Series e 7 Series risalenti al 2012. Quattro delle vulnerabilità scoperte richiedono che gli hacker abbiano accesso fisico tramite USB all’auto, mentre sei delle vulnerabilità possono essere sfruttate da remoto. Le ultime quattro vulnerabilità richiedono l’accesso fisico al computer dell’auto.
“I risultati della nostra ricerca hanno dimostrato che è possibile ottenere l’accesso locale e remoto a infotainment, componenti T-Box e UDS comunicazione al di sopra di una certa velocità [per] moduli di veicoli BMW selezionati e sono stato in grado di ottenere il controllo dei bus CAN durante l'esecuzione di richieste diagnostiche arbitrarie e non autorizzate dei sistemi di bordo BMW da remoto”, hanno scritto i ricercatori del Keen Security Lab di Tencent in un
Video consigliati
Inoltre, se un hacker avesse accesso fisico al veicolo, potrebbero essere sfruttate anche le porte USB, Ethernet e OBD-II. Poiché l'interfaccia Ethernet USB non presenta restrizioni di sicurezza, potrebbe essere utilizzata per accedere a rete Internet dell'unità principale e rilevare i servizi interni esposti tramite la scansione delle porte, il rapporto disse. Gli hacker possono anche utilizzare una chiavetta USB per iniettare codice dannoso nel ConnectedDrive di BMW ottenendo il controllo root del sistema hu-intel.
Imparentato
- BMW spedisce auto senza le funzionalità pubblicizzate di Apple e Google
- Il sistema di sicurezza Arlo offre funzionalità all-in-one grazie al suo multisensore
- Aggiorna subito Google Chrome per correggere questo grave difetto di sicurezza
Gli hacker possono anche attivare l’esecuzione di codice remoto se non hanno accesso a un veicolo sfruttando la corruzione della memoria vulnerabilità che consentivano agli utenti di aggirare la protezione della firma nel firmware e interrompere l'isolamento sicuro di vari sistemi componenti. (Nel 2015, un quattordicenne ha hackerato un'auto con tecnologia del valore di 15 dollari utilizzando una tecnica simile.) Ottenendo l'accesso ai bus CAN, un utente malintenzionato può eseguire l'attivazione remota funzioni diagnostiche sfruttando una catena di molteplici vulnerabilità su diversi veicoli interessati componenti. Gli hacker possono inviare diagnostiche arbitrarie al computer del motore. Il pericolo, secondo i ricercatori, è che l'unità di controllo del motore, o ECU, continui a rispondere alla diagnostica messaggi anche a velocità di guida normali, e “diventerà molto peggio se gli aggressori invocassero qualche UDS speciale routine."
"Concatenando insieme le vulnerabilità, siamo in grado di compromettere da remoto l'NBT [computer dell'auto]", hanno affermato i ricercatori. “Successivamente, possiamo anche sfruttare alcune speciali interfacce di diagnosi remota implementate nel modulo gateway centrale per inviare messaggi diagnostici arbitrari (UDS) per controllare le ECU su diversi bus CAN”.
In una dichiarazione a ZDNet, il BMW Group ha osservato che la ricerca è stata condotta in collaborazione con il team di sicurezza informatica di BMW, evidenziando che “terze parti svolgono sempre più un ruolo cruciale nel migliorare la sicurezza automobilistica poiché conducono test approfonditi su prodotti e servizi”.
Raccomandazioni degli editori
- L’M1 ha un’importante lacuna di sicurezza che Apple non può correggere
- BMW mostra un'auto elettrica con vernice che cambia colore al CES 2022
- Come il ristretto ecosistema di prodotti Apple può minarne la sicurezza
- Il tuo laptop Dell potrebbe presentare una vulnerabilità nella sicurezza. Ecco come risolverlo.
- Nvidia avverte i proprietari delle sue GPU di una pericolosa vulnerabilità di sicurezza
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
