BMWが220万台の車両をハイジャックに脆弱にしたソフトウェアのセキュリティ欠陥を修正

BMWは、ロールス・ロイス、ミニ、BMWを含む220万台の車両をハッキングに脆弱にする可能性があった車載ソフトウェアの欠陥を修正しました

バイエルンモーター・ワークス、またはBMWは、ドイツの高級車とパフォーマンスの象徴と見なされています。バイエルン州ミュンヘンに本社を置くこの自動車メーカーは、70年以上にわたり自動車ビジネスに従事しており、ロールス・ロイス、ミニカー、BMW、オートバイなどの高品質なラグジュアリーカーを世界市場向けに製造しています。

BMWはパフォーマンスの面で購入できる最も安全な車の1つと見なされており、信頼性の象徴とされています。しかし、一般ドイツ自動車クラブ（ADAC）はそうは考えていません。ADACの研究チームは、BMW車が無線システムの脆弱性によりハイジャックに脆弱であることを発見しました。ADACの研究者は、BMWのConnectedDriveシステムのセキュリティ脆弱性がBMWサーバーを模倣し、車両にリモート解除指示を送信できることを発見し、これにより車両の盗難が容易になることを示しました。

この問題は、一般ドイツ自動車クラブ（ADAC）によって発見され、いくつかのBMW車モデルで確認されました。

攻撃は、車両からロックアウトされたドライバーがBMWのアシスタンスラインから車のリモート解除を要求できる機能を利用しました。

ADACのソフトウェアテスト中に、ソフトウェアの抜け穴が、盗人がレプリカの携帯電話基地局を使用して車両ネットワークから送信されるデータをハッキングした後に車のドア/窓を開けることを可能にすることが判明しました。データ送信中にセキュリティ侵害のリスクがありましたが、この欠陥はステアリング、ブレーキ、エンジンの始動/停止などの機能には影響を与えませんでした。別の実際の問題は、ハッカーが車のドアを開けることに成功した場合、車内のすべてを管理するオンボード機能に簡単にアクセスできることです。

ADACはハックのPoCを提示しませんでしたが、欠陥がBMWのConnectedDrive機能に関係していることを述べました。BMWは複数のスマートフォンアプリを製造しており、そのうちの少なくとも1つ、アメリカのMy BMW Remoteと呼ばれるアプリは、車の所有者が車両をロックおよび解除できるようにします。

BMWの広報担当者であるデイブ・ブフコは、「彼らは私たちのテレマティクスに使用するソフトウェアの一部を逆工学することができ、それによってBMWサーバーを模倣することができました」と述べました。BMWの子会社であるロールス・ロイスとミニもConnectedDriveを使用しています。このハックの脆弱性は、全世界で約220万台の車両を危険にさらす可能性がありました。

BMWは昨日、放置されていた場合にいくつかの車両盗難を引き起こす可能性があったセキュリティ欠陥を修正しました。ドイツの自動車メーカーは、ADACのPoCメソッドに関与するケースは1件も報告されておらず、上記の欠陥により車両が侵害されたこともないと述べています。しかし、欠陥を修正したと述べました。昨日から、内部通信はHypertext Transfer Protocol Secure Standard（HTTPS）を使用して暗号化されるようになり、これは安全な金融取引を確保するためにも使用されます。

BMWはさらに、顧客はこの欠陥について心配する必要はなく、何らかの行動を取る必要はないと述べ、エンジニアが車両が会社のサーバーに接続されるとすぐに欠陥を修正する自動更新をリリースしたと述べました。