Kinijos mokslininkai aptiko 14 pažeidžiamumų daugelio kompiuterių borto kompiuteriuose BMW transporto priemonių, todėl automobilių gamintojas pradėjo skelbti saugos pataisas belaidžiu būdu ir per platintojų tinklus. Šie trūkumai turi įtakos informacijos ir pramogų įrenginiui, telematikos valdikliams ir belaidžio ryšio sistemoms BMW i serijos, X1 sDrive, 5 serijos ir 7 serijos modeliuose, pagamintuose dar 2012 m. Dėl keturių aptiktų pažeidžiamumų įsilaužėliams reikalinga fizinė USB prieiga prie automobilio, o šešiomis iš spragų galima išnaudoti nuotoliniu būdu. Paskutiniai keturi pažeidžiamumai reikalauja fizinės prieigos prie automobilio kompiuterio.
„Mūsų tyrimų rezultatai įrodė, kad įmanoma gauti vietinę ir nuotolinę prieigą prie informacijos ir pramogų, T-Box komponentų ir UDS. Ryšys viršija tam tikrą greitį [skirtiems] pasirinktiems BMW transporto priemonių moduliams ir galėjo valdyti CAN magistrales. savavališkų, neteisėtų BMW automobilių sistemų diagnostikos užklausų nuotoliniu būdu“, – rašė Tencent’s Keen Security Lab tyrėjai. a
Rekomenduojami vaizdo įrašai
Be to, jei įsilaužėlis turi fizinę prieigą prie transporto priemonės, USB, Ethernet ir OBD-II prievadai taip pat gali būti naudojami. Kadangi USB eterneto sąsaja neturi saugos apribojimų, ją galima naudoti norint pasiekti pagrindinio įrenginio interneto tinklą ir aptikti atviras vidines paslaugas per prievado nuskaitymą, pranešama sakė. Įsilaužėliai taip pat gali naudoti USB atmintinę, kad į BMW „ConnectedDrive“ įterptų kenkėjišką kodą, įgydami šakninę hu-intel sistemos kontrolę.
Susijęs
- BMW gabena automobilius be reklamuojamų Apple ir Google funkcijų
- „Arlo Security System“ suteikia „viskas viename“ funkcionalumą dėl savo kelių jutiklių
- Atnaujinkite „Google Chrome“ dabar, kad pataisytumėte šią svarbią saugos trūkumą
Įsilaužėliai taip pat gali suaktyvinti nuotolinį kodo vykdymą, jei neturi prieigos prie transporto priemonės, pasinaudodami atminties sugadinimu pažeidžiamumas, leidžiantis vartotojams apeiti programinės aparatinės įrangos parašo apsaugą ir nutraukti saugų įvairių sistemų izoliavimą komponentai. (2015 m. 14-metis įsilaužė į automobilį su 15 USD vertės technikos naudojant panašią techniką.) Gavęs prieigą prie CAN magistralių, užpuolikas gali nuotoliniu būdu suaktyvinti nuotolinį diagnostikos funkcijas, panaudojant kelių pažeidžiamumų grandinę keliose paveiktose transporto priemonėse komponentai. Įsilaužėliai gali siųsti savavališką diagnostiką į variklio kompiuterį. Tyrėjų teigimu, pavojus yra tas, kad variklio valdymo blokas arba ECU vis tiek reaguos į diagnostiką pranešimus net važiuojant įprastu greičiu, ir „bus daug blogiau, jei užpuolikai iškvies kokį nors specialų UDS rutina“.
„Sujungdami pažeidžiamumą kartu, galime nuotoliniu būdu pažeisti NBT [automobilio kompiuterį]“, – sakė mokslininkai. "Po to mes taip pat galime panaudoti kai kurias specialias nuotolinės diagnostikos sąsajas, įdiegtas Centrinio šliuzo modulyje, norėdami siųsti savavališkus diagnostikos pranešimus (UDS) valdyti ECU skirtingose CAN magistralėse."
Pareiškime, skirta ZDNet, BMW grupė pažymėjo, kad tyrimas buvo atliktas kartu su BMW kibernetinio saugumo komanda, pabrėždama, kad „trečiosios šalys Vis labiau atlieka lemiamą vaidmenį gerinant automobilių saugumą, nes jie patys atlieka išsamius produktų ir paslaugų bandymus.
Redaktorių rekomendacijos
- M1 turi didelę saugumo spragą, kurios „Apple“ negali pataisyti
- BMW parodoje CES 2022 demonstruoja elektromobilį su besikeičiančiais dažais
- Kaip griežta Apple produktų ekosistema gali pakenkti jos pačios saugumui
- Jūsų „Dell“ nešiojamasis kompiuteris gali turėti saugos pažeidžiamumą. Štai kaip tai ištaisyti.
- „Nvidia“ įspėja savo GPU savininkus apie pavojingą saugos pažeidžiamumą
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
