BMW устраняет уязвимость в программном обеспечении, которая сделала 2,2 миллиона автомобилей уязвимыми для угонов

BMW исправила уязвимость в своем программном обеспечении для автомобилей, управляющем внутренней связью автомобиля, которая могла сделать 2,2 миллиона автомобилей, включая Rolls-Royce, Mini и BMW, уязвимыми для взлома

Bavarian Motor Works или BMW из Германии считается воплощением роскоши и производительности. Автопроизводитель, базирующийся в Мюнхене, Бавария, занимается автомобилестроением более 70 лет и производит высококачественные роскошные автомобили, такие как Rolls-Royce, Mini, BMW и мотоциклы для мирового рынка.

Поскольку BMW считается одним из самых безопасных автомобилей, которые можно купить с точки зрения производительности, он стал символом надежности. Но Allgemeiner Deutscher Automobil-Club (ADAC) так не считает. Команда исследователей из ADAC обнаружила, что автомобили BMW были уязвимы для угонов из-за уязвимости в их беспроводной системе. Исследователи ADAC выяснили, что уязвимость безопасности в системе ConnectedDrive BMW может имитировать серверы BMW и отправлять удаленные инструкции по разблокировке автомобилей, что облегчает их кражу.

Проблема была обнаружена Allgemeiner Deutscher Automobil-Club (ADAC), немецкой автомобильной ассоциацией, и была подтверждена на нескольких моделях автомобилей BMW.

Атака использовала функцию, которая позволяет водителям, оказавшимся заблокированными вне своих автомобилей, запрашивать удаленную разблокировку своего автомобиля через линию помощи BMW.

Во время тестирования программного обеспечения ADAC было обнаружено, что лазейка в программном обеспечении может позволить злоумышленникам открывать двери/окна автомобиля после взлома данных, передаваемых из сети автомобиля с помощью реплики базовой станции мобильного телефона. Хотя существовал риск нарушения безопасности во время передачи данных, уязвимость не повлияла бы на функции, такие как рулевое управление, торможение или запуск/остановка двигателя. Другой реальной проблемой было то, что если хакер успешно откроет двери автомобиля, он получит легкий доступ к бортовым функциям, которые управляют всем в автомобиле.

Хотя ADAC не представил доказательства концепции (PoC) взлома, он упомянул, что уязвимость связана с функциональностью ConnectedDrive BMW. BMW разрабатывает несколько мобильных приложений, одно из которых, называемое My BMW Remote в Соединенных Штатах, позволяет владельцу автомобиля блокировать и разблокировать транспортное средство.

Дэйв Бухко, представитель BMW, сказал: «Им удалось провести реверс-инжиниринг некоторого программного обеспечения, которое мы используем для нашей телематики, с помощью которого они смогли имитировать сервер BMW». Дочерние компании BMW Rolls-Royce и Mini также используют ConnectedDrive. Уязвимость взлома могла поставить под угрозу около 2,2 миллиона автомобилей по всему миру.

Вчера BMW исправила уязвимость безопасности, которая могла бы привести к нескольким угнам автомобилей, если бы ее не исправили. Немецкие автопроизводители сообщили, что ни один случай, связанный с методом PoC ADAC, не был им известен, и ни один автомобиль не был скомпрометирован из-за вышеупомянутой уязвимости. Однако они заявили, что устранили уязвимость. С вчерашнего дня внутренняя связь теперь будет зашифрована с использованием стандарта безопасного гипертекстового протокола передачи (HTTPS), который также используется для обеспечения безопасных финансовых транзакций.

BMW также заявила, что ее клиенты не должны беспокоиться об уязвимости или предпринимать какие-либо действия, так как их инженеры выпустили автоматическое обновление, которое исправит уязвимость, как только транспортное средство подключится к серверу компании.