Меню


  • BMW закрыл уязвимость, позволявшую открывать 2,2 млн машин

    Взломать авто можно было из-за использования HTTP вместо HTTPS

    Немецкий автопроизводитель BMW недавно обновил программное обеспечение своих автомобилей. Патч закрывает уязвимость, которая позволяла открывать двери 2,2 млн машин марок BMW, Mini и Rolls Royce, не оставляя при этом никаких следов.

    Проблема возникла из-за особенностей реализации технологии информационно-развлекательной системы ConnectedDrive. Она в том числе позволяет автовладельцам получать доступ в Интернет, к навигационным и другим сервисам с помощью сотовой связи — в машине установлен модуль GSM и постоянная SIM-карта. Пользователь с помощью смартфона с установленным приложением может открывать двери, настраивать кондиционер и выполнять другие действия.

    Как объясняет «Рейтер», исследователям удалось провести атаку с помощью создания поддельной базовой станции. Используя подмену сетевого трафика, нанятая немецкой автомобильной ассоциацией ADAC фирма смогла опустить стёкла и открыть двери уязвимых автомобилей. На всё уходит лишь нескольких минут, при этом не возникает никаких физических следов несанкционированного доступа. Представитель BMW Сильке Бригль подтвердила, что хакеры не могли запустить или остановить двигатель.

    ADAC дала BMW достаточно времени для исправления этой ошибки, и в своём заявлении для прессы BMW сообщает. что уязвимость была быстро закрыта. Обновление с патчем безопасности автоматически скачивается при обращении автомобилей к серверам BMW Group. По всей видимости, теперь соединение между устройствами будет производиться с помощью шифрованного протокола HTTPS, а раньше данные шли напрямую по HTTP безо всякой сверки цифровых ключей.

    BMW

    1 Series Convertible, Coupe and Touring (E81, E82, E87, E88, F20, F21)

    2er Active Tourer, Coupe and Convertible (F22, F23, F45)

    3 with Convertible, Coupe, GT, Touring and M3 (E90, E91, E92, E93, F30, F31, F34, F80)

    4p Coupe, Convertible, Gran Coupe and M4 (F32, F33, F36, F82, F83)