Компания BMW выпустила патч, устраняющий опасную уязвимость для приложении ConnectedDrive. Патч должны установить 2,2 млн владельцев Rolls-Royce, Mini и BMW, если они не хотят проникновения в свои автомобили посторонних лиц. Собственно, апгрейд программного обеспечения ConnectedDrive должен осуществиться автоматически, но в целях безопасности следует проследить за этим процессом.

Уязвимость даёт возможность дистанционного открытия дверей машины и прочих действий с помощью поддельной базовой станции, которая обеспечивает подключение через SIM-карту, встроенную в систему управления машины. Оказалось, что канал передачи данных между автомобилем и базовой станцией недостаточно хорошо защищён, поэтому можно перехватить трафик и подсунуть поддельную БС. Для устранения проблемы BMW внедрила протокол HTTPS.

Баг выявили инженеры Всеобщего немецкого автомобильного клуба (ADAC) — общественной организации автомобилистов Германии.

BMW говорит, что ей неизвестны случаи реальной эксплуатации уязвимости.

Вообще, эксперты уже давно предупреждают о проблемах с информационной безопасностью в автомобилестроении. Это особенно актуально в последние года, когда количество софта в машинах выросло до миллионов строк кода. Фактически, современный автомобиль — это программно-аппаратный комплекс, где софт составляет около 40% цены. Эксперты по безопасности в шутку называют современные автомобили «Windows на колёсах», намекая на серьёзные проблемы с безопасностью и большое количество уязвимостей.

Для хакера работать с современным автомобилем одно удовольствие. На иллюстрации показаны цифровые порты ввода/вывода в типичной машине 2012 модельного года.

003

Иллюстрация взята из отчёта «Полный экспериментальный анализ способов атаки на автомобили», который опубликовали специалисты Калифорнийского университета в Сан-Диего и Вашингтонского университета.

Можно предположить, что баг с перехватом мобильных коммуникаций и дистанционным открытием дверей автомобиля — не единственная существующая уязвимость.

6 комментариев

  1. 05.02.2015 at 12:09

    Поддельную БС можно подсунуть и сейчас, просто толку от этого будет мало.

  2. 06.02.2015 at 03:53

    кабриолет рулит.

  3. 06.02.2015 at 15:16

    Жигули 6 модели вирусы и баги не страшны новый лозунг автоваза !!! ))))

Оставить мнение