Kinesiska forskare upptäckte 14 sårbarheter på omborddatorerna på ett antal BMW fordon, vilket leder till att biltillverkaren börjar utfärda säkerhetskorrigeringar via luften och genom återförsäljarnätverk. Dessa brister påverkar infotainmentenheten, telematikkontrollerna och de trådlösa kommunikationssystemen på BMW: s i Series, X1 sDrive, 5 Series och 7 Series modeller som går så långt tillbaka som 2012. Fyra av de upptäckta sårbarheterna kräver att hackare har fysisk USB-åtkomst till bilen, medan sex av sårbarheterna kan utnyttjas på distans. De fyra sista sårbarheterna kräver fysisk åtkomst till bilens dator.
"Våra forskningsrön har visat att det är möjligt att få lokal och fjärråtkomst till infotainment, T-Box-komponenter och UDS kommunikation över viss hastighet [för] utvalda BMW-fordonsmoduler och kunnat få kontroll över CAN-bussarna med utförandet av godtyckliga, obehöriga diagnostiska förfrågningar av BMWs bilsystem på distans", skrev forskarna vid Tencents Keen Security Lab i en
preliminär rapport, och noterar att en fullständig rapport skulle finnas tillgänglig någon gång under 2019 för att ge BMW tid att åtgärda bristerna.Rekommenderade videor
Dessutom, om en hackare har tillgång till fordonet fysiskt, kan USB-, Ethernet- och OBD-II-portarna också utnyttjas. Eftersom USB Ethernet-gränssnittet inte har säkerhetsbegränsningar kan det användas för att komma åt huvudenhetens internetnätverk och upptäck de exponerade interna tjänsterna genom portskanning, rapporten sa. Hackare kan också använda ett USB-minne för att injicera skadlig kod i BMWs ConnectedDrive genom att få rotkontroll över hu-intel-systemet.
Relaterad
- BMW skickar bilar utan annonserade Apple- och Google-funktioner
- Arlo Security System ger allt-i-ett-funktionalitet tack vare sin multisensor
- Uppdatera Google Chrome nu för att korrigera detta kritiska säkerhetsfel
Hackare kan också utlösa fjärrkörning av kod om de inte har tillgång till ett fordon genom att utnyttja minneskorruption sårbarheter som gjorde det möjligt för användare att kringgå signaturskydd i den fasta programvaran och bryta säker isolering av olika system komponenter. (2015, en 14-åring hackade en bil med teknik till ett värde av 15 USD använder en liknande teknik.) Genom att få tillgång till CAN-bussar kan en angripare fjärrutlösa fjärrkontrollen diagnostiska funktioner genom att utnyttja en kedja av flera sårbarheter över flera drabbade fordon komponenter. Hackare kan skicka godtycklig diagnostik till motordatorn. Faran, enligt forskare, är att motorstyrenheten, eller ECU, fortfarande kommer att svara på diagnostik meddelanden även vid normala körhastigheter, och "det kommer att bli mycket värre om angripare åberopar någon speciell UDS rutiner.”
"Genom att koppla ihop sårbarheterna kan vi på distans äventyra NBT [bildatorn]," sa forskare. "Efter det kan vi också utnyttja några speciella fjärrdiagnosgränssnitt implementerade i Central Gateway Module för att skicka godtyckliga diagnostiska meddelanden (UDS) för att styra ECU: er på olika CAN-bussar."
I ett uttalande till ZDNet, noterade BMW Group att undersökningen utfördes i samarbete med BMW: s cybersäkerhetsteam, och betonade att "tredje part spelar allt mer en avgörande roll för att förbättra bilsäkerheten när de utför sina egna djupgående tester av produkter och tjänster."
Redaktörens rekommendationer
- M1 har ett stort säkerhetskryphål som Apple inte kan åtgärda
- BMW visar upp en elbil med färgskiftande lack på CES 2022
- Hur Apples snäva ekosystem av produkter kan undergräva sin egen säkerhet
- Din bärbara Dell-dator kan ha en säkerhetsrisk. Så här fixar du det.
- Nvidia varnar ägare av sina GPU: er om en farlig säkerhetsrisk
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.