Машины BMW нашпигованы «дырами», которые не закроют еще год
24 мая 2018 11:40 #69157
от ICT
ICT создал тему: Машины BMW нашпигованы «дырами», которые не закроют еще год
14 дыр в BMW Китайские исследователи обнаружили целый ряд серьезных уязвимостей в бортовых системах популярных марок автомобилей BMW. Уязвимости достаточно серьезны, чтобы исследователи, по договоренности с автопроизводителем, решили воздержаться от публикации подробностей и экспериментальных эксплойтов до 2019 г. BMW уже готовит исправления для обнаруженных уязвимостей, и шесть патчей уже раздается удаленно. Однако, часть исправлений, требующая вмешательства в прошивки автомобилей, будет устанавливаться на станциях техобслуживания. Их установка закончится в 2019 г. Из 14 уязвимостей, найденных китайской фирмой Tencent Keen Security Lab, большинство требует физического контакта с автомобилем. Тем не менее, целых пять уязвимостей при определенных условиях могут эксплуатироваться удаленно. «Входными точками» для исследователей стали модули мобильной связи, интегрированные в автомобили, информационно-развлекательные или телематические системы.
Уязвимости найдены в автомобилях BMW, выпущенных до 2012 года По утверждениям исследователей, им удалось, с помощью «комбинации» уязвимостей, получить доступ к CAN-шине. CAN-шина - это сеть контроллеров, бортовая система коммуникации, которая связывает и регулирует обмен данными между различными компонентами электроники, которой оснащен автомобиль. Близкие контакты и бесконтактный взлом В большинстве случаев экспертам удалось взломать бортовые системы с помощью зараженного USB-накопителя. Возможность эксплуатировать уязвимости удаленно существует, но и сами исследователи, и представители BMW согласны с тем, что такая операция чрезвычайно сложна в исполнении. Для успешной эксплуатации потребуется ни больше ни меньше как взломать местную соту GSM-сети. Эта операция потребует усилий и уровня квалификации, среднестатистическому хакеру не доступных. «Наше исследование показало, что существует возможность получить локальный и удаленный доступ к информационно-развлекательным, телематическим и диагностическим системам... в определенных моделях автомобилей BMW и смогли получить контроль над CAN-шинами с удаленным исполнением произвольных, неавторизованных запросов на диагностику в бортовых системах», - написали исследователи. «Удаленная эксплуатация уязвимостей в бортовых системах автомобилей - наиболее опасный сценарий, и даже если захватить полный контроль над «умным» автомобилем оказывается невозможно, даже взлом информационной-развлекательной системы может иметь весьма драматичные последствия, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - В данном случае, судя по всему, речь идет об очень сложных в исполнении, но, тем не менее, реализуемых атаках. О том, что они могут иметь критические последствия, свидетельствует нежелание исследователей и автопроизводителя раскрывать все подробности до следующего года. Из 14 уязвимостей восемь затрагивают информационно-развлекательные системы (зачастую наиболее слабое место в автомобильной электронике, с точки зрения киберзащиты), две - центральный шлюз и еще четыре - систему телематики, отвечающую, помимо всего прочего, за климат-контроль, управление дверьми и аварийные системы. Восемь уязвимостей получили свои CVE-индексы (CVE-2018-9311, CVE-2018-9312, CVE-2018-9313, CVE-2018-9314, а также CVE-2018-9318, CVE-2018-9320 и CVE-2018-9322, покрывающая сразу две уязвимости). Точный список уязвимых моделей автомобилей пока сохраняется в тайне, но известно, что они относятся к сериям BMW i, X, 3, 5 и 7, выпущенных до 2012 г. Исследование проводилось с января 2017 по февраль 2018 г. По итогам компания BMW объявила Tencent Keen Security Labs первым получателем своей награды «За достижения в дигитализации и исследованиях ИТ».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Китайцев заставляют перейти на одобренные властями роутеры с многочисленными «дырами» | 10.02 | Пятница, 06 апреля 2018 |
РТК и ВГТРК вскоре закроют сделку по объединению медиаактивов | 9.2 | Четверг, 29 января 2015 |
Wi-Fi в московском метро закроют для пользователей блокировщиками рекламы | 9.2 | Четверг, 04 февраля 2016 |
Из-за утечки данных, Google+ закроют раньше, чем планировалось | 9.2 | Вторник, 11 декабря 2018 |
Закроют личико: биометрию россиян защитят от утечек и подмены | 9.1 | Понедельник, 29 марта 2021 |
Абрамченко отметила, что три крупных месторождения лития закроют потребности РФ | 9.1 | Четверг, 22 июня 2023 |
ВТБ доверится прогнозам машины | 7.46 | Понедельник, 04 октября 2021 |
МТС: «Машины» Южного Урала перешли на LTE-A | 7.38 | Среда, 05 октября 2016 |
HP Inc. продемонстрировала новые печатные машины для бизнеса | 7.3 | Понедельник, 27 февраля 2017 |
В «Яндекс.Такси» появились грузовые машины | 7.3 | Понедельник, 03 июня 2019 |