14 varnostnih napak BMW omogoča hekerjem, da na daljavo napadejo vozila

2019 BMW X4 (evropska različica)

Kitajski raziskovalci so odkrili 14 ranljivosti na vgrajenih računalnikih številnih BMW vozila, zaradi česar je proizvajalec avtomobilov začel izdajati varnostne popravke po zraku in prek trgovskih mrež. Te napake vplivajo na informacijsko-razvedrilno enoto, telematske kontrole in brezžične komunikacijske sisteme na BMW-jevih modelih serije i, X1 sDrive, serije 5 in serije 7 iz leta 2012. Štiri od odkritih ranljivosti zahtevajo, da imajo hekerji fizični USB-dostop do avtomobila, medtem ko je šest ranljivosti mogoče izkoristiti na daljavo. Zadnje štiri ranljivosti zahtevajo fizični dostop do računalnika avtomobila.

»Ugotovitve naše raziskave so dokazale, da je izvedljivo pridobiti lokalni in oddaljeni dostop do infotainmenta, komponent T-Box in UDS. komunikacijo nad določeno hitrostjo [za] izbrane module vozila BMW in z izvedbo lahko pridobi nadzor nad vodili CAN samovoljnih, nepooblaščenih diagnostičnih zahtev avtomobilskih sistemov BMW na daljavo,« so zapisali raziskovalci Tencentovega Keen Security Laba. v

predhodno poročilo, pri čemer je opozoril, da bo celotno poročilo na voljo nekje leta 2019, da bo BMW imel čas, da popravi napake.

Priporočeni videoposnetki

Poleg tega, če ima heker fizični dostop do vozila, bi lahko izkoristil tudi vrata USB, Ethernet in OBD-II. Ker vmesnik USB Ethernet nima varnostnih omejitev, ga je mogoče uporabiti za dostop do internetno omrežje glavne enote in zaznavanje izpostavljenih notranjih storitev s skeniranjem vrat, poročilo rekel. Hekerji lahko uporabijo tudi ključek USB za vbrizgavanje zlonamerne kode v BMW ConnectedDrive, tako da pridobijo korenski nadzor nad sistemom hu-intel.

Povezano

  • BMW pošilja avtomobile brez oglaševanih funkcij Apple in Google
  • Varnostni sistem Arlo prinaša funkcionalnost vse v enem zahvaljujoč svojemu večsenzorju
  • Posodobite Google Chrome zdaj, da popravite to kritično varnostno napako

Hekerji lahko tudi sprožijo oddaljeno izvajanje kode, če nimajo dostopa do vozila, tako da izkoristijo poškodbo pomnilnika ranljivosti, ki so uporabnikom omogočile, da zaobidejo zaščito podpisov v vdelani programski opremi in prekinejo varno izolacijo različnih sistemov. komponente. (Leta 2015, 14-letnik je vdrl v avto s tehniko v vrednosti 15 dolarjev z uporabo podobne tehnike.) Z dostopom do vodil CAN lahko napadalec na daljavo sproži oddaljeni diagnostične funkcije z izkoriščanjem verige več ranljivosti v več prizadetih vozilih komponente. Hekerji lahko pošljejo poljubno diagnostiko v računalnik motorja. Po mnenju raziskovalcev je nevarnost, da se bo krmilna enota motorja ali ECU še vedno odzivala na diagnostiko sporočila tudi pri običajni hitrosti vožnje in »še veliko huje bo postalo, če bodo napadalci sprožili kakšen poseben UDS rutine."

"Z verižnim povezovanjem ranljivosti lahko na daljavo ogrozimo NBT [avtomobilski računalnik]," so povedali raziskovalci. "Potem lahko izkoristimo tudi nekaj posebnih vmesnikov za oddaljeno diagnosticiranje, implementiranih v modulu centralnega prehoda, za pošiljanje poljubnih diagnostičnih sporočil (UDS) za nadzor ECU-jev na različnih vodilih CAN."

V izjavi za ZDNet, je BMW Group opozoril, da je bila raziskava izvedena v sodelovanju z BMW-jevo ekipo za kibernetsko varnost, pri čemer je poudaril, da »tretje osebe vedno bolj igrajo ključno vlogo pri izboljšanju varnosti avtomobilov, saj izvajajo lastne poglobljene teste izdelkov in storitev.«

Priporočila urednikov

  • M1 ima veliko varnostno vrzel, ki je Apple ne more popraviti
  • BMW na sejmu CES 2022 razkazuje električni avtomobil s spreminjajočo barvo
  • Kako lahko Applov tesni ekosistem izdelkov spodkoplje lastno varnost
  • Vaš prenosnik Dell ima morda varnostno ranljivost. Tukaj je opisano, kako to popraviti.
  • Nvidia lastnike svojih grafičnih procesorjev opozarja na nevarno varnostno ranljivost

Nadgradite svoj življenjski slogDigitalni trendi pomagajo bralcem slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.