Китайські дослідники виявили 14 уразливостей у бортових комп'ютерах ряду БМВ автомобілів, що спонукало автовиробника до початку випуску патчів безпеки по повітрю та через мережі дилерів. Ці недоліки впливають на інформаційно-розважальний блок, елементи керування телематикою та системи бездротового зв’язку на моделях BMW серії i, X1 sDrive, 5-ї та 7-ї серії, випущених ще в 2012 році. Чотири з виявлених уразливостей вимагають від хакерів фізичного USB-доступу до автомобіля, тоді як шість уразливостей можна використовувати віддалено. Останні чотири уразливості вимагають фізичного доступу до комп’ютера автомобіля.
«Результати наших досліджень довели, що можливо отримати локальний і віддалений доступ до інформаційно-розважальних систем, компонентів T-Box і UDS. зв'язок вище певної швидкості [для] вибраних модулів автомобіля BMW і можливість отримати контроль над шинами CAN за допомогою виконання довільних, несанкціонованих запитів на діагностику автомобільних систем BMW дистанційно», – написали дослідники з Tencent’s Keen Security Lab. в
Рекомендовані відео
Крім того, якщо хакер має фізичний доступ до автомобіля, порти USB, Ethernet і OBD-II також можуть бути використані. Оскільки інтерфейс USB Ethernet не має обмежень безпеки, його можна використовувати для доступу до Інтернет-мережі головного пристрою та виявлення відкритих внутрішніх служб за допомогою сканування портів, звіт сказав. Хакери також можуть використовувати USB-накопичувач, щоб впровадити шкідливий код у BMW ConnectedDrive, отримавши root-контроль системи hu-intel.
Пов'язані
- Доставляє автомобілі BMW без рекламованих функцій Apple і Google
- Система безпеки Arlo забезпечує комплексну функціональність завдяки мультисенсору
- Оновіть Google Chrome зараз, щоб виправити цю критичну помилку безпеки
Хакери також можуть ініціювати віддалене виконання коду, якщо вони не мають доступу до автомобіля, використовуючи пошкодження пам’яті уразливості, які дозволяли користувачам обійти захист підпису в мікропрограмі та порушити безпечну ізоляцію різних систем компоненти. (У 2015 р. 14-річний підліток зламав машину з технікою на 15 доларів використовуючи аналогічну техніку.) Отримавши доступ до шин CAN, зловмисник може віддалено запустити дистанційне керування діагностичні функції, використовуючи ланцюжок численних уразливостей у кількох уражених автомобілях компоненти. Хакери можуть відправляти довільну діагностику на комп'ютер двигуна. Небезпека, на думку дослідників, полягає в тому, що блок керування двигуном, або ECU, все одно буде реагувати на діагностику повідомлення навіть на нормальній швидкості руху, і «стане набагато гірше, якщо зловмисники викличуть якісь спеціальні UDS рутини».
«Об’єднуючи уразливості разом, ми можемо дистанційно скомпрометувати NBT [автомобільний комп’ютер]», — сказали дослідники. «Після цього ми також можемо використовувати деякі спеціальні інтерфейси віддаленої діагностики, реалізовані в модулі центрального шлюзу, для надсилання довільних діагностичних повідомлень (UDS) для керування ECU на різних шинах CAN».
У заяві до ZDNetBMW Group зазначила, що дослідження проводилося спільно з командою з кібербезпеки BMW, підкресливши, що «треті сторони все більше відіграють вирішальну роль у покращенні безпеки автомобілів, оскільки вони проводять власні поглиблені тести продуктів і послуг».
Рекомендації редакції
- У M1 є серйозна лазівка в безпеці, яку Apple не може виправити
- На CES 2022 BMW демонструє електромобіль із фарбою, що змінює колір
- Як тісна екосистема продуктів Apple може підірвати її власну безпеку
- Ваш ноутбук Dell може мати вразливість системи безпеки. Ось як це виправити.
- Nvidia попереджає власників своїх графічних процесорів про небезпечну вразливість безпеки
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
