14 の BMW セキュリティ欠陥によりハッカーが車両を遠隔攻撃できるようになる

中国の研究者は、多数の車載コンピュータに 14 件の脆弱性を発見しました。 BMW これにより、自動車メーカーは無線およびディーラー ネットワークを通じてセキュリティ パッチを発行し始めました。 これらの欠陥は、2012 年まで遡る BMW の i シリーズ、X1 sDrive、5 シリーズ、および 7 シリーズ モデルのインフォテインメント ユニット、テレマティクス コントロール、無線通信システムに影響を及ぼします。 発見された脆弱性のうち 4 つはハッカーが車に物理的に USB アクセスする必要がある一方、6 つはリモートから悪用される可能性があります。 最後の 4 つの脆弱性は、車のコンピューターへの物理的なアクセスを必要とします。

「私たちの研究結果は、インフォテインメント、T-Box コンポーネント、UDS へのローカルおよびリモート アクセスが可能であることを証明しました。 選択された BMW 車両モジュールに対して一定速度以上の通信を行い、実行により CAN バスの制御を取得できました。 BMW 車載システムの任意の無許可の診断要求を遠隔から監視できる」とテンセントのキーン セキュリティ ラボの研究者らは書いている。 で 速報、BMWが欠陥を修正する時間を確保できるよう、完全な報告書は2019年中に入手可能になるだろうと指摘した。

さらに、ハッカーが車両に物理的にアクセスできる場合、USB、イーサネット、OBD-II ポートが悪用される可能性があります。 USB イーサネット インターフェイスにはセキュリティ制限がないため、USB イーサネット インターフェイスにアクセスするために使用できます。 ヘッド ユニットのインターネット ネットワークを監視し、ポート スキャンを通じて公開された内部サービスを検出し、レポートを作成します。 言った。 ハッカーは、USB スティックを使用して、hu-intel システムのルート制御を取得し、BMW の ConnectedDrive に悪意のあるコードを挿入することもできます。

ハッカーは、車両にアクセスできない場合、メモリ破損を悪用してリモート コード実行をトリガーすることもできます。 ユーザーがファームウェアの署名保護をバイパスし、さまざまなシステムの安全な分離を破ることを可能にする脆弱性 コンポーネント。 （2015年、 14歳が15ドル相当の技術で車をハッキング 同様の手法を使用します。) 攻撃者は、CAN バスへのアクセスを取得することで、リモートからリモートをトリガーすることができます。 影響を受ける複数の車両にわたる複数の脆弱性の連鎖を活用した診断機能 コンポーネント。 ハッカーは任意の診断情報をエンジン コンピューターに送信する可能性があります。 研究者らによると、危険なのは、エンジン コントロール ユニット (ECU) が依然として診断に応答することです。 通常の運転速度でもメッセージが表示され、「攻撃者が特別な UDS を呼び出すと事態はさらに悪化する」 ルーティン。」

研究者らは「脆弱性を連鎖させることで、NBT（車載コンピューター）を遠隔から侵害することができる」と述べた。 「その後、セントラル ゲートウェイ モジュールに実装された特別なリモート診断インターフェイスを活用して、任意の診断メッセージ (UDS) を送信して、さまざまな CAN バス上の ECU を制御することもできます。」

への声明で ZDNetBMW グループは、この調査が BMW のサイバーセキュリティ チームと協力して実施されたことを指摘し、「サードパーティ 製品やサービスについて独自の綿密なテストを実施することで、自動車セキュリティの向上においてますます重要な役割を果たしています。」

編集者のおすすめ

• M1にはAppleがパッチできない重大なセキュリティの抜け穴がある
• BMW、色が変化するペイントを施した電気自動車をCES 2022で披露
• Apple の製品の緊密なエコシステムが自社のセキュリティをどのように損なうのか
• お使いの Dell ノートパソコンにはセキュリティ上の脆弱性がある可能性があります。 修正方法は次のとおりです。
• Nvidia、GPU の所有者に危険なセキュリティ脆弱性について警告

ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。