Chinese onderzoekers ontdekten veertien kwetsbaarheden op de boordcomputers van een aantal BMW voertuigen, waardoor de autofabrikant beveiligingspatches via de ether en via dealernetwerken begon uit te geven. Deze gebreken zijn van invloed op de infotainmenteenheid, de telematicabediening en de draadloze communicatiesystemen op BMW's i-serie, X1 sDrive, 5-serie en 7-serie modellen die al in 2012 dateren. Vier van de ontdekte kwetsbaarheden vereisen dat hackers fysieke USB-toegang tot de auto hebben, terwijl zes van de kwetsbaarheden op afstand kunnen worden uitgebuit. De laatste vier kwetsbaarheden vereisen fysieke toegang tot de computer van de auto.
“Onze onderzoeksresultaten hebben bewezen dat het haalbaar is om lokale en externe toegang te krijgen tot infotainment, T-Box-componenten en UDS communicatie boven een bepaalde snelheid [voor] geselecteerde BMW-voertuigmodules en met de uitvoering controle over de CAN-bussen kunnen krijgen van willekeurige, ongeautoriseerde diagnostische verzoeken van BMW-autosystemen op afstand”, schreven de onderzoekers van Tencent’s Keen Security Lab in een
Aanbevolen video's
Als een hacker fysiek toegang heeft tot het voertuig, kunnen bovendien de USB-, Ethernet- en OBD-II-poorten worden misbruikt. Omdat de USB Ethernet-interface geen beveiligingsbeperkingen kent, kan deze worden gebruikt om toegang te krijgen tot de internetnetwerk van de hoofdunit en detecteer de blootgestelde interne services via poortscannen, het rapport gezegd. Hackers kunnen ook een USB-stick gebruiken om kwaadaardige code in BMW's ConnectedDrive te injecteren door root-controle over het hu-intel-systeem te verkrijgen.
Verwant
- BMW verzendt auto's zonder geadverteerde Apple- en Google-functies
- Het Arlo Security System biedt alles-in-één functionaliteit dankzij de multisensor
- Update Google Chrome nu om deze kritieke beveiligingsfout te verhelpen
Hackers kunnen ook de uitvoering van externe code activeren als ze geen toegang hebben tot een voertuig, door misbruik te maken van geheugencorruptie kwetsbaarheden waardoor gebruikers de handtekeningbescherming in de firmware konden omzeilen en de veilige isolatie van verschillende systemen konden doorbreken componenten. (In 2015, een 14-jarige hackte een auto met $ 15 aan technologie door een vergelijkbare techniek te gebruiken.) Door toegang te krijgen tot CAN-bussen kan een aanvaller op afstand triggeren diagnostische functies door gebruik te maken van een keten van meerdere kwetsbaarheden in verschillende getroffen voertuigen componenten. Hackers kunnen willekeurige diagnostiek naar de motorcomputer sturen. Het gevaar is volgens onderzoekers dat de motorregeleenheid, of ECU, nog steeds zal reageren op de diagnose zelfs bij normale rijsnelheden, en “het zal nog veel erger worden als aanvallers een aantal speciale UDS gebruiken routines.”
“Door de kwetsbaarheden aan elkaar te koppelen, kunnen we op afstand de NBT [autocomputer] in gevaar brengen”, aldus onderzoekers. “Daarna kunnen we ook een aantal speciale interfaces voor diagnose op afstand gebruiken die in de Central Gateway Module zijn geïmplementeerd om willekeurige diagnostische berichten (UDS) te verzenden om ECU’s op verschillende CAN-bussen te besturen.”
In een verklaring aan ZDNet, merkte de BMW Group op dat het onderzoek werd uitgevoerd in samenwerking met het cybersecurityteam van BMW, waarbij werd benadrukt dat “derden spelen steeds meer een cruciale rol bij het verbeteren van de veiligheid van de auto, omdat ze hun eigen diepgaande tests van producten en diensten uitvoeren.”
Aanbevelingen van de redactie
- De M1 heeft een groot beveiligingslek dat Apple niet kan patchen
- BMW pronkt op CES 2022 met een elektrische auto met van kleur veranderende lak
- Hoe het krappe ecosysteem van producten van Apple zijn eigen veiligheid kan ondermijnen
- Uw Dell-laptop heeft mogelijk een beveiligingsprobleem. Hier leest u hoe u dit kunt oplossen.
- Nvidia waarschuwt eigenaren van zijn GPU's voor een gevaarlijk beveiligingsprobleem
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
