Китайские исследователи обнаружили 14 уязвимостей в бортовых компьютерах ряда автомобилей. BMW транспортных средств, что побудило автопроизводителя начать выпуск обновлений безопасности по беспроводной сети и через дилерские сети. Эти недостатки затрагивают информационно-развлекательный блок, элементы управления телематикой и системы беспроводной связи на моделях BMW i Series, X1 sDrive, 5 Series и 7 Series, выпущенных еще в 2012 году. Четыре из обнаруженных уязвимостей требуют, чтобы хакеры имели физический USB-доступ к автомобилю, а шесть уязвимостей можно использовать удаленно. Последние четыре уязвимости требуют физического доступа к компьютеру автомобиля.
«Результаты нашего исследования доказали, что возможно получить локальный и удаленный доступ к информационно-развлекательным системам, компонентам T-Box и UDS. связь со скоростью выше определенной [для] выбранных модулей автомобиля BMW и возможность получить контроль над шинами CAN при выполнении произвольных, несанкционированных удаленных диагностических запросов автомобильных систем BMW», — пишут исследователи из лаборатории Keen Security Lab компании Tencent. в
предварительный отчет, отметив, что полный отчет будет доступен где-то в 2019 году, чтобы дать BMW время исправить недостатки.Рекомендуемые видео
Кроме того, если хакер имеет физический доступ к автомобилю, порты USB, Ethernet и OBD-II также могут быть использованы. Поскольку интерфейс USB Ethernet не имеет ограничений безопасности, его можно использовать для доступа к интернет-сети головного устройства и обнаруживать открытые внутренние службы посредством сканирования портов, отчет сказал. Хакеры также могут использовать USB-накопитель для внедрения вредоносного кода в ConnectedDrive BMW, получив root-контроль над системой hu-intel.
Связанный
- BMW поставляет автомобили без рекламируемых функций Apple и Google
- Система безопасности Arlo обеспечивает функциональность «все в одном» благодаря мультисенсору.
- Обновите Google Chrome прямо сейчас, чтобы исправить этот критический недостаток безопасности.
Хакеры также могут инициировать удаленное выполнение кода, если у них нет доступа к транспортному средству, воспользовавшись повреждением памяти. уязвимости, которые позволяли пользователям обходить сигнатурную защиту в прошивке и нарушать безопасную изоляцию различных систем компоненты. (В 2015 году 14-летний подросток взломал машину с помощью технологий стоимостью 15 долларов используя аналогичную технику.) Получив доступ к CAN-шинам, злоумышленник может удаленно инициировать удаленный диагностические функции за счет использования цепочки многочисленных уязвимостей в нескольких затронутых транспортных средствах. компоненты. Хакеры могут отправить произвольную диагностику на компьютер двигателя. Опасность, по мнению исследователей, заключается в том, что блок управления двигателем, или ЭБУ, все равно будет реагировать на диагностические сигналы. сообщения даже при нормальной скорости движения, и «станет намного хуже, если злоумышленники вызовут какой-нибудь специальный UDS рутины».
«Объединив уязвимости вместе, мы можем удаленно скомпрометировать NBT [автомобильный компьютер]», — говорят исследователи. «После этого мы также можем использовать некоторые специальные интерфейсы удаленной диагностики, реализованные в модуле центрального шлюза, для отправки произвольных диагностических сообщений (UDS) для управления ЭБУ на разных шинах CAN».
В заявлении для ЗДНетBMW Group отметила, что исследование проводилось совместно с командой кибербезопасности BMW, подчеркнув, что «третьи стороны они все чаще играют решающую роль в повышении автомобильной безопасности, проводя собственные углубленные испытания продуктов и услуг».
Рекомендации редакции
- В M1 есть серьезная лазейка в безопасности, которую Apple не может исправить
- BMW демонстрирует электромобиль с меняющей цвет краской на выставке CES 2022
- Как тесная экосистема продуктов Apple может подорвать ее собственную безопасность
- Ваш ноутбук Dell может иметь уязвимость безопасности. Вот как это исправить.
- Nvidia предупреждает владельцев своих графических процессоров об опасной уязвимости безопасности
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.