Çinli araştırmacılar bir dizi aracın yerleşik bilgisayarlarında 14 güvenlik açığı keşfetti BMW Otomobil üreticisinin kablosuz olarak ve bayi ağları aracılığıyla güvenlik yamaları yayınlamaya başlamasına yol açtı. Bu kusurlar, BMW'nin 2012 yılına kadar uzanan i Serisi, X1 sDrive, 5 Serisi ve 7 Serisi modellerindeki bilgi-eğlence ünitesini, telematik kontrollerini ve kablosuz iletişim sistemlerini etkiliyor. Keşfedilen güvenlik açıklarından dördü, bilgisayar korsanlarının araca fiziksel USB erişimine sahip olmasını gerektirirken, güvenlik açıklarından altısı uzaktan kullanılabilir. Son dört güvenlik açığı, aracın bilgisayarına fiziksel erişim gerektiriyor.
"Araştırma bulgularımız bilgi-eğlence sistemine, T-Box bileşenlerine ve UDS'ye yerel ve uzaktan erişim sağlamanın mümkün olduğunu kanıtladı Seçilen BMW araç modülleri için belirli hızın üzerinde iletişim ve uygulama ile CAN veri yollarının kontrolünü ele geçirmeyi başardık Tencent'in Keen Güvenlik Laboratuvarı'ndaki araştırmacılar, BMW araç içi sistemlerine yönelik keyfi, yetkisiz teşhis taleplerinin uzaktan kontrol altına alınabileceğini" yazdı. içinde
Önerilen Videolar
Ayrıca, bir bilgisayar korsanının araca fiziksel olarak erişimi varsa USB, Ethernet ve OBD-II bağlantı noktalarından da yararlanılabilir. USB Ethernet Arayüzünün güvenlik kısıtlamaları olmadığından, rapor, ana ünitenin internet ağını ve port taraması yoluyla açıkta kalan dahili hizmetleri tespit eder. söz konusu. Bilgisayar korsanları ayrıca hu-intel sisteminin kök kontrolünü ele geçirerek BMW'nin ConnectedDrive'ına kötü amaçlı kod enjekte etmek için bir USB bellek kullanabilir.
İlgili
- BMW, reklamı yapılan Apple ve Google özellikleri olmadan araba gönderiyor
- Arlo Güvenlik Sistemi, çoklu sensörleri sayesinde hepsi bir arada işlevsellik sunar
- Bu kritik güvenlik kusurunu düzeltmek için Google Chrome'u şimdi güncelleyin
Bilgisayar korsanları, bir araca erişimleri yoksa, bellek bozulmasından yararlanarak uzaktan kod yürütülmesini de tetikleyebilir. Kullanıcıların ürün yazılımındaki imza korumasını atlamalarına ve çeşitli sistemlerin güvenli izolasyonunu kırmalarına olanak tanıyan güvenlik açıkları bileşenler. (2015 yılında, 14 yaşında bir çocuk, 15 dolar değerinde teknoloji içeren bir arabayı hackledi Benzer bir teknik kullanarak.) Saldırgan, CAN veri yollarına erişim sağlayarak uzaktan kumandayı tetikleyebilir etkilenen birkaç araçta birden fazla güvenlik açığından oluşan bir zincirden yararlanarak teşhis işlevleri bileşenler. Bilgisayar korsanları motor bilgisayarına keyfi teşhisler gönderebilir. Araştırmacılara göre tehlike, motor kontrol ünitesinin veya ECU'nun teşhise hala yanıt vermesidir. normal sürüş hızlarında bile mesajlar veriyor ve "saldırganların bazı özel UDS'leri devreye sokması halinde durum çok daha kötü olacak" rutinler.”
Araştırmacılar, "Güvenlik açıklarını bir araya getirerek NBT'nin (araba bilgisayarı) uzaktan güvenliğini aşabiliyoruz" dedi. "Bundan sonra, farklı CAN Veriyolları üzerindeki ECU'ları kontrol etmek için rastgele teşhis mesajları (UDS) göndermek üzere Merkezi Ağ Geçidi Modülünde uygulanan bazı özel uzaktan teşhis arayüzlerinden de yararlanabiliriz."
Bir açıklamada ZDNetBMW Group, araştırmanın BMW'nin siber güvenlik ekibiyle birlikte yürütüldüğünü belirterek, "üçüncü tarafların" altını çizdi. Ürün ve hizmetlere ilişkin kendi derinlemesine testlerini yürüttükleri için otomotiv güvenliğinin iyileştirilmesinde giderek daha önemli bir rol oynuyorlar.”
Editörlerin Önerileri
- M1'de Apple'ın yama yapamayacağı büyük bir güvenlik açığı var
- BMW, CES 2022'de renk değiştiren boyaya sahip elektrikli otomobilini sergiliyor
- Apple'ın sıkı ürün ekosistemi kendi güvenliğini nasıl zayıflatabilir?
- Dell dizüstü bilgisayarınızda bir güvenlik açığı olabilir. İşte bunu nasıl düzelteceğiniz.
- Nvidia, GPU sahiplerini tehlikeli bir güvenlik açığı konusunda uyarıyor
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
