14 defecte de securitate BMW permit hackerilor să atace de la distanță vehiculele

Cercetătorii chinezi au descoperit 14 vulnerabilități pe computerele de bord ale unui număr de BMW vehicule, ceea ce a determinat producătorul de automobile să înceapă să emită corecții de securitate prin aer și prin rețelele de dealeri. Aceste defecte afectează unitatea de infotainment, comenzile telematice și sistemele de comunicații fără fir de pe modelele BMW Seria i, X1 sDrive, Seria 5 și Seria 7 datând din 2012. Patru dintre vulnerabilitățile descoperite necesită hackeri să aibă acces fizic USB la mașină, în timp ce șase dintre vulnerabilități pot fi exploatate de la distanță. Ultimele patru vulnerabilități necesită acces fizic la computerul mașinii.

„Descoperirile cercetării noastre au dovedit că este fezabil să obținem acces local și de la distanță la infotainment, componentele T-Box și UDS. comunicare peste o anumită viteză [pentru] module ale vehiculelor BMW selectate și a putut obține controlul magistralelor CAN odată cu execuția de solicitări arbitrare, neautorizate de diagnosticare ale sistemelor BMW în mașină de la distanță”, au scris cercetătorii de la Keen Security Lab de la Tencent. într-o

În plus, dacă un hacker are acces fizic la vehicul, porturile USB, Ethernet și OBD-II ar putea fi, de asemenea, exploatate. Deoarece interfața USB Ethernet nu are restricții de securitate, ar putea fi folosită pentru a accesa rețeaua de internet a unității principale și detectează serviciile interne expuse prin scanarea portului, raportează a spus. Hackerii pot folosi, de asemenea, un stick USB pentru a injecta cod rău intenționat în ConnectedDrive al BMW, obținând controlul root al sistemului hu-intel.

Hackerii pot declanșa, de asemenea, execuția de cod de la distanță dacă nu au acces la un vehicul prin exploatarea corupției memoriei vulnerabilități care au permis utilizatorilor să ocolească protecția semnăturii din firmware și să rupă izolarea securizată a diferitelor sisteme componente. (În 2015, un tânăr de 14 ani a spart o mașină cu tehnologie în valoare de 15 USD folosind o tehnică similară.) Obținând acces la magistralele CAN, un atacator poate declanșa de la distanță telecomandă funcții de diagnostic prin valorificarea unui lanț de vulnerabilități multiple pe mai multe vehicule afectate componente. Hackerii pot trimite diagnostice arbitrare computerului motorului. Pericolul, potrivit cercetătorilor, este ca unitatea de control al motorului, sau ECU, să răspundă în continuare la diagnosticare mesaje chiar și la viteze normale de conducere și „va deveni mult mai rău dacă atacatorii invocă niște UDS speciale rutine.”

„Prin înlănțuirea vulnerabilităților, suntem capabili să compromitem de la distanță NBT [calculatorul auto]”, au spus cercetătorii. „După aceasta, putem folosi, de asemenea, unele interfețe speciale de diagnosticare la distanță implementate în Modulul Central Gateway pentru a trimite mesaje de diagnosticare arbitrare (UDS) pentru a controla ECU-urile pe diferite magistrale CAN.”

Într-o declarație către ZDNet, BMW Group a remarcat că cercetarea a fost realizată în colaborare cu echipa de securitate cibernetică a BMW, subliniind că „terți joacă din ce în ce mai mult un rol crucial în îmbunătățirea securității auto, pe măsură ce își efectuează propriile teste aprofundate ale produselor și serviciilor.”

Recomandările editorilor

• M1 are o lacună majoră de securitate pe care Apple nu o poate corecta
• BMW prezintă o mașină electrică cu vopsea care își schimbă culoarea la CES 2022
• Cum strâns ecosistemul de produse Apple își poate submina propria securitate
• Laptopul dvs. Dell ar putea avea o vulnerabilitate de securitate. Iată cum să o remediați.
• Nvidia avertizează proprietarii GPU-urilor sale despre o vulnerabilitate de securitate periculoasă

Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.