Машины BMW нашпигованы «дырами», которые не закроют еще год

24 мая 2018 11:40 #69157 от ICT
14 дыр в BMW Китайские исследователи обнаружили целый ряд серьезных уязвимостей в бортовых системах популярных марок автомобилей BMW. Уязвимости достаточно серьезны, чтобы исследователи, по договоренности с автопроизводителем, решили воздержаться от публикации подробностей и экспериментальных эксплойтов до 2019 г. BMW уже готовит исправления для обнаруженных уязвимостей, и шесть патчей уже раздается удаленно. Однако, часть исправлений, требующая вмешательства в прошивки автомобилей, будет устанавливаться на станциях техобслуживания. Их установка закончится в 2019 г. Из 14 уязвимостей, найденных китайской фирмой Tencent Keen Security Lab, большинство требует физического контакта с автомобилем. Тем не менее, целых пять уязвимостей при определенных условиях могут эксплуатироваться удаленно. «Входными точками» для исследователей стали модули мобильной связи, интегрированные в автомобили, информационно-развлекательные или телематические системы. Уязвимости найдены в автомобилях BMW, выпущенных до 2012 года По утверждениям исследователей, им удалось, с помощью «комбинации» уязвимостей, получить доступ к CAN-шине. CAN-шина - это сеть контроллеров, бортовая система коммуникации, которая связывает и регулирует обмен данными между различными компонентами электроники, которой оснащен автомобиль. Близкие контакты и бесконтактный взлом В большинстве случаев экспертам удалось взломать бортовые системы с помощью зараженного USB-накопителя. Возможность эксплуатировать уязвимости удаленно существует, но и сами исследователи, и представители BMW согласны с тем, что такая операция чрезвычайно сложна в исполнении. Для успешной эксплуатации потребуется ни больше ни меньше как взломать местную соту GSM-сети. Эта операция потребует усилий и уровня квалификации, среднестатистическому хакеру не доступных. «Наше исследование показало, что существует возможность получить локальный и удаленный доступ к информационно-развлекательным, телематическим и диагностическим системам... в определенных моделях автомобилей BMW и смогли получить контроль над CAN-шинами с удаленным исполнением произвольных, неавторизованных запросов на диагностику в бортовых системах», - написали исследователи. «Удаленная эксплуатация уязвимостей в бортовых системах автомобилей - наиболее опасный сценарий, и даже если захватить полный контроль над «умным» автомобилем оказывается невозможно, даже взлом информационной-развлекательной системы может иметь весьма драматичные последствия, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - В данном случае, судя по всему, речь идет об очень сложных в исполнении, но, тем не менее, реализуемых атаках. О том, что они могут иметь критические последствия, свидетельствует нежелание исследователей и автопроизводителя раскрывать все подробности до следующего года. Из 14 уязвимостей восемь затрагивают информационно-развлекательные системы (зачастую наиболее слабое место в автомобильной электронике, с точки зрения киберзащиты), две - центральный шлюз и еще четыре - систему телематики, отвечающую, помимо всего прочего, за климат-контроль, управление дверьми и аварийные системы. Восемь уязвимостей получили свои CVE-индексы (CVE-2018-9311, CVE-2018-9312, CVE-2018-9313, CVE-2018-9314, а также CVE-2018-9318, CVE-2018-9320 и CVE-2018-9322, покрывающая сразу две уязвимости). Точный список уязвимых моделей автомобилей пока сохраняется в тайне, но известно, что они относятся к сериям BMW i, X, 3, 5 и 7, выпущенных до 2012 г. Исследование проводилось с января 2017 по февраль 2018 г. По итогам компания BMW объявила Tencent Keen Security Labs первым получателем своей награды «За достижения в дигитализации и исследованиях ИТ». Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Китайцев заставляют перейти на одобренные властями роутеры с многочисленными «дырами»10.01Пятница, 06 апреля 2018
    РТК и ВГТРК вскоре закроют сделку по объединению медиаактивов9.2Четверг, 29 января 2015
    Wi-Fi в московском метро закроют для пользователей блокировщиками рекламы9.2Четверг, 04 февраля 2016
    Из-за утечки данных, Google+ закроют раньше, чем планировалось9.2Вторник, 11 декабря 2018
    Закроют личико: биометрию россиян защитят от утечек и подмены9.1Понедельник, 29 марта 2021
    Абрамченко отметила, что три крупных месторождения лития закроют потребности РФ9.1Четверг, 22 июня 2023
    ВТБ доверится прогнозам машины7.46Понедельник, 04 октября 2021
    МТС: «Машины» Южного Урала перешли на LTE-A7.37Среда, 05 октября 2016
    HP Inc. продемонстрировала новые печатные машины для бизнеса7.29Понедельник, 27 февраля 2017
    В «Яндекс.Такси» появились грузовые машины7.29Понедельник, 03 июня 2019

    Мы в соц. сетях