Pesquisadores chineses descobriram 14 vulnerabilidades nos computadores de bordo de vários BMW veículos, levando a montadora a começar a emitir patches de segurança pelo ar e por meio de redes de concessionárias. Essas falhas afetam a unidade de infoentretenimento, os controles telemáticos e os sistemas de comunicação sem fio nos modelos Série i, X1 sDrive, Série 5 e Série 7 da BMW que datam de 2012. Quatro das vulnerabilidades descobertas exigem que os hackers tenham acesso físico ao carro por USB, enquanto seis das vulnerabilidades podem ser exploradas remotamente. As últimas quatro vulnerabilidades requerem acesso físico ao computador do carro.
“Nossas descobertas de pesquisa provaram que é viável obter acesso local e remoto a infoentretenimento, componentes T-Box e UDS comunicação acima de certa velocidade [para] módulos de veículos BMW selecionados e foi capaz de obter controle dos barramentos CAN com a execução de solicitações de diagnóstico arbitrárias e não autorizadas de sistemas automotivos BMW remotamente”, escreveram os pesquisadores do Keen Security Lab da Tencent. em um
relatório preliminar, observando que um relatório completo estaria disponível em 2019 para dar tempo à BMW para corrigir as falhas.Vídeos recomendados
Além disso, se um hacker tiver acesso físico ao veículo, as portas USB, Ethernet e OBD-II também poderão ser exploradas. Como a interface Ethernet USB não possui restrições de segurança, ela pode ser usada para acessar o rede de internet da unidade principal e detectar os serviços internos expostos por meio de varredura de porta, o relatório disse. Os hackers também podem usar um pendrive para injetar código malicioso no ConnectedDrive da BMW, obtendo controle root do sistema hu-intel.
Relacionado
- BMW envia carros sem recursos anunciados da Apple e do Google
- O Arlo Security System traz funcionalidade completa graças ao seu multisensor
- Atualize o Google Chrome agora para corrigir esta falha crítica de segurança
Os hackers também podem desencadear a execução remota de código se não tiverem acesso a um veículo, explorando a corrupção da memória. vulnerabilidades que permitiam aos usuários ignorar a proteção de assinatura no firmware e quebrar o isolamento seguro de vários sistemas componentes. (Em 2015, um garoto de 14 anos hackeou um carro com tecnologia no valor de US$ 15 usando uma técnica semelhante.) Ao obter acesso aos barramentos CAN, um invasor pode acionar remotamente funções de diagnóstico, aproveitando uma cadeia de múltiplas vulnerabilidades em vários veículos afetados componentes. Os hackers podem enviar diagnósticos arbitrários ao computador do motor. O perigo, segundo os pesquisadores, é que a unidade de controle do motor, ou ECU, ainda responda ao diagnóstico mensagens mesmo em velocidades normais de condução, e “será muito pior se os invasores invocarem algum UDS especial rotinas.”
“Ao encadear as vulnerabilidades, somos capazes de comprometer remotamente o NBT [computador do carro]”, disseram os pesquisadores. “Depois disso, também podemos aproveitar algumas interfaces especiais de diagnóstico remoto implementadas no Módulo Central Gateway para enviar mensagens de diagnóstico arbitrárias (UDS) para controlar ECUs em diferentes barramentos CAN.”
Numa declaração a ZDNet, o Grupo BMW observou que a pesquisa foi conduzida em conjunto com a equipe de segurança cibernética da BMW, destacando que “terceiros desempenham cada vez mais um papel crucial na melhoria da segurança automóvel à medida que conduzem os seus próprios testes aprofundados de produtos e serviços.”
Recomendações dos Editores
- O M1 tem uma grande lacuna de segurança que a Apple não consegue corrigir
- BMW mostra carro elétrico com pintura que muda de cor na CES 2022
- Como o restrito ecossistema de produtos da Apple pode minar sua própria segurança
- Seu laptop Dell pode ter uma vulnerabilidade de segurança. Veja como consertar isso.
- Nvidia alerta proprietários de suas GPUs sobre uma perigosa vulnerabilidade de segurança
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.