Ķīniešu pētnieki atklāja 14 ievainojamības vairāku uzņēmumu borta datoros BMW transportlīdzekļiem, liekot autoražotājam sākt izsniegt drošības ielāpus ēterā un izplatītāju tīklā. Šie trūkumi ietekmē informācijas un izklaides bloku, telemātikas vadības ierīces un bezvadu sakaru sistēmas BMW i sērijas, X1 sDrive, 5. sērijas un 7. sērijas modeļos, kas datēti jau 2012. gadā. Četrās no atklātajām ievainojamībām hakeriem ir nepieciešama fiziska USB piekļuve automašīnai, savukārt sešas ievainojamības var izmantot attālināti. Pēdējām četrām ievainojamībām ir nepieciešama fiziska piekļuve automašīnas datoram.
"Mūsu pētījumu rezultāti ir pierādījuši, ka ir iespējams iegūt lokālu un attālu piekļuvi informācijas un izklaides sistēmai, T-Box komponentiem un UDS. komunikācija pārsniedz noteiktu ātrumu [par] atlasītajiem BMW transportlīdzekļu moduļiem un spēja iegūt kontroli pār CAN kopnēm ar izpildi par patvaļīgiem, neatļautiem BMW automašīnu sistēmu diagnostikas pieprasījumiem attālināti," rakstīja Tencent's Keen Security Lab pētnieki. iekšā
Ieteiktie videoklipi
Turklāt, ja hakeris var fiziski piekļūt transportlīdzeklim, var izmantot arī USB, Ethernet un OBD-II portus. Tā kā USB Ethernet interfeisam nav drošības ierobežojumu, to var izmantot, lai piekļūtu galvenās ierīces interneta tīklā un atklāt atklātos iekšējos pakalpojumus, izmantojot portu skenēšanu, ziņo teica. Hakeri var arī izmantot USB zibatmiņu, lai BMW ConnectedDrive ierīcē ievadītu ļaunprātīgu kodu, iegūstot saknes kontroli pār hu-intel sistēmu.
Saistīts
- BMW piegādā automašīnas bez reklamētajām Apple un Google funkcijām
- Arlo drošības sistēma nodrošina visaptverošu funkcionalitāti, pateicoties tās multisensoram
- Atjauniniet pārlūku Google Chrome tūlīt, lai labotu šo kritisko drošības trūkumu
Hakeri var arī aktivizēt attālinātu koda izpildi, ja viņiem nav piekļuves transportlīdzeklim, izmantojot atmiņas bojājumus. ievainojamības, kas ļāva lietotājiem apiet programmaparatūras paraksta aizsardzību un pārtraukt dažādu sistēmu drošu izolāciju sastāvdaļas. (2015. gadā 14 gadus vecs jaunietis uzlauza automašīnu ar 15 USD vērtu tehnoloģiju izmantojot līdzīgu paņēmienu.) Piekļūstot CAN kopnēm, uzbrucējs var attālināti aktivizēt tālvadības pulti diagnostikas funkcijas, izmantojot vairāku ievainojamību ķēdi vairākos ietekmētajos transportlīdzekļos sastāvdaļas. Hakeri var nosūtīt patvaļīgu diagnostiku dzinēja datoram. Pēc pētnieku domām, briesmas ir tādas, ka dzinēja vadības bloks jeb ECU joprojām reaģēs uz diagnostiku ziņojumus pat pie parastā braukšanas ātruma, un “tas kļūs daudz sliktāks, ja uzbrucēji izsauks kādu īpašu UDS rutīnas.”
"Savienojot ievainojamības, mēs varam attālināti apdraudēt NBT [automašīnas datoru]," sacīja pētnieki. "Pēc tam mēs varam arī izmantot dažas īpašas attālās diagnostikas saskarnes, kas ieviestas Centrālajā vārtejas modulī, lai nosūtītu patvaļīgus diagnostikas ziņojumus (UDS), lai kontrolētu ECU dažādās CAN kopnēs."
Paziņojumā, lai ZDNet, BMW grupa atzīmēja, ka pētījums tika veikts kopā ar BMW kiberdrošības komandu, uzsverot, ka "trešās puses arvien vairāk spēlē izšķirošo lomu automobiļu drošības uzlabošanā, jo viņi paši veic padziļinātas produktu un pakalpojumu pārbaudes.
Redaktoru ieteikumi
- M1 ir liela drošības nepilnība, kuru Apple nevar aizlāpīt
- BMW izstādē CES 2022 demonstrē elektromobili ar maināmu krāsu
- Kā Apple saspringtā produktu ekosistēma var apdraudēt tās drošību
- Jūsu Dell klēpjdatoram var būt drošības ievainojamība. Lūk, kā to labot.
- Nvidia brīdina savu GPU īpašniekus par bīstamu drošības ievainojamību
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
