14 недостатков безопасности BMW позволяют хакерам удаленно атаковать автомобили

Китайские исследователи обнаружили 14 уязвимостей в бортовых компьютерах ряда автомобилей. BMW транспортных средств, что побудило автопроизводителя начать выпуск обновлений безопасности по беспроводной сети и через дилерские сети. Эти недостатки затрагивают информационно-развлекательный блок, элементы управления телематикой и системы беспроводной связи на моделях BMW i Series, X1 sDrive, 5 Series и 7 Series, выпущенных еще в 2012 году. Четыре из обнаруженных уязвимостей требуют, чтобы хакеры имели физический USB-доступ к автомобилю, а шесть уязвимостей можно использовать удаленно. Последние четыре уязвимости требуют физического доступа к компьютеру автомобиля.

«Результаты нашего исследования доказали, что возможно получить локальный и удаленный доступ к информационно-развлекательным системам, компонентам T-Box и UDS. связь со скоростью выше определенной [для] выбранных модулей автомобиля BMW и возможность получить контроль над шинами CAN при выполнении произвольных, несанкционированных удаленных диагностических запросов автомобильных систем BMW», — пишут исследователи из лаборатории Keen Security Lab компании Tencent. в

Кроме того, если хакер имеет физический доступ к автомобилю, порты USB, Ethernet и OBD-II также могут быть использованы. Поскольку интерфейс USB Ethernet не имеет ограничений безопасности, его можно использовать для доступа к интернет-сети головного устройства и обнаруживать открытые внутренние службы посредством сканирования портов, отчет сказал. Хакеры также могут использовать USB-накопитель для внедрения вредоносного кода в ConnectedDrive BMW, получив root-контроль над системой hu-intel.

Хакеры также могут инициировать удаленное выполнение кода, если у них нет доступа к транспортному средству, воспользовавшись повреждением памяти. уязвимости, которые позволяли пользователям обходить сигнатурную защиту в прошивке и нарушать безопасную изоляцию различных систем компоненты. (В 2015 году 14-летний подросток взломал машину с помощью технологий стоимостью 15 долларов используя аналогичную технику.) Получив доступ к CAN-шинам, злоумышленник может удаленно инициировать удаленный диагностические функции за счет использования цепочки многочисленных уязвимостей в нескольких затронутых транспортных средствах. компоненты. Хакеры могут отправить произвольную диагностику на компьютер двигателя. Опасность, по мнению исследователей, заключается в том, что блок управления двигателем, или ЭБУ, все равно будет реагировать на диагностические сигналы. сообщения даже при нормальной скорости движения, и «станет намного хуже, если злоумышленники вызовут какой-нибудь специальный UDS рутины».

«Объединив уязвимости вместе, мы можем удаленно скомпрометировать NBT [автомобильный компьютер]», — говорят исследователи. «После этого мы также можем использовать некоторые специальные интерфейсы удаленной диагностики, реализованные в модуле центрального шлюза, для отправки произвольных диагностических сообщений (UDS) для управления ЭБУ на разных шинах CAN».

В заявлении для ЗДНетBMW Group отметила, что исследование проводилось совместно с командой кибербезопасности BMW, подчеркнув, что «третьи стороны они все чаще играют решающую роль в повышении автомобильной безопасности, проводя собственные углубленные испытания продуктов и услуг».

Рекомендации редакции

• В M1 есть серьезная лазейка в безопасности, которую Apple не может исправить
• BMW демонстрирует электромобиль с меняющей цвет краской на выставке CES 2022
• Как тесная экосистема продуктов Apple может подорвать ее собственную безопасность
• Ваш ноутбук Dell может иметь уязвимость безопасности. Вот как это исправить.
• Nvidia предупреждает владельцев своих графических процессоров об опасной уязвимости безопасности

Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.