חוקרים סיניים גילו 14 נקודות תורפה במחשבים המשולבים של מספר ב.מ. וו כלי רכב, מה שמוביל את יצרנית הרכב להתחיל בהנפקת תיקוני אבטחה באוויר ובאמצעות רשתות סוחרים. פגמים אלה משפיעים על יחידת המידע והבידור, בקרות הטלמטיקה ומערכות התקשורת האלחוטיות בדגמי BMW i Series, X1 sDrive, 5 Series ו-7 דגמים עוד מ-2012. ארבע מהחולשות שהתגלו דורשות מהאקרים גישה פיזית ל-USB למכונית, בעוד ששש מהחולשות ניתנות לניצול מרחוק. ארבעת הפגיעות האחרונות דורשות גישה פיזית למחשב המכונית.
"ממצאי המחקר שלנו הוכיחו שניתן להשיג גישה מקומית ומרוחקת למידע ובידור, רכיבי T-Box ו-UDS תקשורת מעל מהירות מסוימת [עבור] מודולי רכב נבחרים של BMW והצליחה להשיג שליטה על אוטובוסים CAN עם הביצוע של בקשות אבחון שרירותיות ובלתי מורשות של מערכות ב.מ.וו לרכב מרחוק", כתבו החוקרים במעבדת ה-Keen Security Lab של Tencent. ב דוח ראשוני, וציין כי דוח מלא יהיה זמין מתישהו בשנת 2019 כדי לאפשר ל-BMW לתקן את הפגמים.
סרטונים מומלצים
בנוסף, אם להאקר יש גישה פיזית לרכב, ניתן יהיה לנצל גם את יציאות ה-USB, ה-Ethernet ו-OBD-II. מכיוון שלממשק USB Ethernet אין הגבלות אבטחה, ניתן להשתמש בו כדי לגשת ל רשת האינטרנט של היחידה הראשית ולאתר את השירותים הפנימיים החשופים באמצעות סריקת יציאות, הדוח אמר. האקרים יכולים גם להשתמש במקל USB כדי להחדיר קוד זדוני ל-ConnectedDrive של BMW על ידי השגת שליטה בשורש של מערכת hu-intel.
קָשׁוּר
- BMW שולחת מכוניות ללא תכונות מפורסמות של אפל וגוגל
- מערכת האבטחה Arlo מביאה פונקציונליות של הכל-ב-אחד הודות לרב החיישן שלה
- עדכן את Google Chrome כעת כדי לתקן את פגם האבטחה הקריטי הזה
האקרים יכולים גם להפעיל ביצוע קוד מרחוק אם אין להם גישה לרכב על ידי ניצול השחתת זיכרון נקודות תורפה שאפשרו למשתמשים לעקוף את הגנת החתימות בקושחה ולשבור בידוד מאובטח של מערכות שונות רכיבים. (בשנת 2015, ילד בן 14 פרץ למכונית עם טכנולוגיה בשווי 15 דולר באמצעות טכניקה דומה.) על ידי השגת גישה לאוטובוסי CAN, תוקף יכול להפעיל מרחוק שלט פונקציות אבחון על ידי מינוף שרשרת של פגיעויות מרובות על פני מספר כלי רכב מושפעים רכיבים. האקרים יכולים לשלוח אבחון שרירותי למחשב המנוע. הסכנה, לפי החוקרים, היא שיחידת בקרת המנוע, או ECU, עדיין תגיב לאבחון הודעות אפילו במהירויות נהיגה רגילות, ו"זה יהפוך הרבה יותר גרוע אם תוקפים יפעילו איזה UDS מיוחד שגרה."
"על ידי שרשרת הפגיעות יחד, אנו מסוגלים לסכן מרחוק את ה-NBT [מחשב הרכב]", אמרו חוקרים. "לאחר מכן, נוכל גם למנף כמה ממשקי אבחון מרחוק מיוחדים המיושמים במודול השער המרכזי כדי לשלוח הודעות אבחון שרירותיות (UDS) לשליטה ב-ECU באוטובוסי CAN שונים."
בהצהרה ל ZDNet, קבוצת BMW ציינה כי המחקר נערך בשיתוף עם צוות אבטחת הסייבר של BMW, והדגיש כי "צדדים שלישיים ממלאים יותר ויותר תפקיד מכריע בשיפור אבטחת הרכב כאשר הם עורכים בדיקות מעמיקות משלהם של מוצרים ושירותים."
המלצות עורכים
- ל-M1 יש פרצת אבטחה גדולה שאפל לא יכולה לתקן
- ב.מ.וו מציגה מכונית חשמלית עם צבע משתנה ב-CES 2022
- כיצד המערכת האקולוגית ההדוקה של מוצרים של אפל יכולה לערער את האבטחה של עצמה
- ייתכן שלמחשב הנייד של Dell שלך יש פגיעות אבטחה. הנה איך לתקן את זה.
- Nvidia מזהירה את הבעלים של ה-GPUs שלה מפני פגיעות אבטחה מסוכנת
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
