14 BMW sikkerhetsfeil tillater hackere å eksternangripe kjøretøy

2019 BMW X4 (europeisk versjon)

Kinesiske forskere oppdaget 14 sårbarheter på datamaskinene ombord til en rekke BMW kjøretøyer, noe som førte til at bilprodusenten begynte å utstede sikkerhetsoppdateringer over-the-air og gjennom forhandlernettverk. Disse feilene påvirker infotainmentenheten, telematikkkontrollene og de trådløse kommunikasjonssystemene på BMWs i-serie, X1 sDrive, 5-serie og 7-serie-modeller som dateres så langt tilbake som 2012. Fire av de oppdagede sårbarhetene krever at hackere har fysisk USB-tilgang til bilen, mens seks av sårbarhetene kan utnyttes eksternt. De fire siste sårbarhetene krever fysisk tilgang til bilens datamaskin.

"Våre forskningsresultater har vist at det er mulig å få lokal og ekstern tilgang til infotainment, T-Box-komponenter og UDS kommunikasjon over en viss hastighet [for] utvalgte BMW kjøretøymoduler og vært i stand til å få kontroll over CAN-bussene med utførelsen av vilkårlige, uautoriserte diagnostiske forespørsler fra BMWs bilsystemer eksternt," skrev forskerne ved Tencents Keen Security Lab i en

Foreløpig rapport, og bemerker at en fullstendig rapport vil være tilgjengelig en gang i 2019 for å gi BMW tid til å rette opp feilene.

Anbefalte videoer

I tillegg, hvis en hacker har fysisk tilgang til kjøretøyet, kan USB-, Ethernet- og OBD-II-portene også utnyttes. Fordi USB Ethernet-grensesnittet ikke har sikkerhetsbegrensninger, kan det brukes til å få tilgang til Internett-nettverket til hovedenheten og oppdage de eksponerte interne tjenestene gjennom portskanning, rapporten sa. Hackere kan også bruke en USB-pinne til å injisere ondsinnet kode i BMWs ConnectedDrive ved å få rotkontroll over hu-intel-systemet.

I slekt

  • BMW sender biler uten annonserte Apple- og Google-funksjoner
  • Arlo Security System gir alt-i-ett-funksjonalitet takket være multisensoren
  • Oppdater Google Chrome nå for å reparere denne kritiske sikkerhetsfeilen

Hackere kan også utløse ekstern kjøring av kode hvis de ikke har tilgang til et kjøretøy ved å utnytte minnekorrupsjon sårbarheter som tillot brukere å omgå signaturbeskyttelse i fastvaren og bryte sikker isolasjon av ulike systemer komponenter. (I 2015, en 14-åring hacket en bil med teknologi verdt 15 dollar ved å bruke en lignende teknikk.) Ved å få tilgang til CAN-busser kan en angriper eksternt utløse fjernkontroll diagnostiske funksjoner ved å utnytte en kjede av flere sårbarheter på tvers av flere berørte kjøretøy komponenter. Hackere kan sende vilkårlig diagnostikk til motordatamaskinen. Faren, ifølge forskere, er at motorkontrollenheten, eller ECU, fortsatt vil reagere på diagnostikk meldinger selv ved normal kjørehastighet, og "det vil bli mye verre hvis angripere påkaller noen spesielle UDS rutiner."

"Ved å lenke sårbarhetene sammen, er vi i stand til å kompromittere NBT [bildatamaskinen] eksternt," sa forskere. "Etter det kan vi også utnytte noen spesielle fjerndiagnosegrensesnitt implementert i Central Gateway Module for å sende vilkårlige diagnostiske meldinger (UDS) for å kontrollere ECUer på forskjellige CAN-busser."

I en uttalelse til ZDNet, bemerket BMW Group at forskningen ble utført i samarbeid med BMWs cybersikkerhetsteam, og fremhevet at "tredjeparter spiller i økende grad en avgjørende rolle i å forbedre bilsikkerheten ettersom de utfører sine egne dybdetester av produkter og tjenester.»

Redaktørenes anbefalinger

  • M1 har et stort sikkerhetshull som Apple ikke kan reparere
  • BMW viser frem en elbil med fargeskiftende lakk på CES 2022
  • Hvordan Apples stramme økosystem av produkter kan undergrave sin egen sikkerhet
  • Din bærbare Dell-datamaskin kan ha et sikkerhetsproblem. Slik fikser du det.
  • Nvidia advarer eiere av sine GPU-er om en farlig sikkerhetssårbarhet

Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.