Бесплатно Экспресс-аудит сайта:

04.02.2015

Уязвимость в ПО от BMW позволяла хакерам угонять автомобили

Немецкая автомобильная компания BMW исправила уязвимость, позволяющую злоумышленникам разблокировать двери более 2,2 млн машин серии Rolls-Royce, Mini и BMW. Об этом сообщается в пресс-релизе концерна, выпущенном в пятницу, 30 января.

По словам представителей BMW, уязвимость обнаружили мотористы Всеобщего немецкого автомобильного клуба (ADAC). Брешь затрагивала машины, оснащенные ПО ConnectedDrive со встроенными SIM-картами. ConnectedDrive позволяет авторизованным водителям удаленно активировать механизмы блокировки дверей, получать информацию об обстановке на дороге, изменять настройки кондиционера и просматривать другую информацию, связанную с автомобилем.

Уязвимость существовала из-за ошибки при передаче данных. BMW заверяет, что брешь не позволяла злоумышленникам захватить контроль над критическими функциями автомобиля – управлением, разгоном и торможением. Более того, компания утверждает, что безопасность самих автомобилей не пострадала.

В последние годы эксперты неоднократно критиковали производителей автомобилей за недостаточное обеспечение безопасности автомобилей с функциями передачи данных через сеть. Специалисты опасаются, что, обойдя ограничения безопасности, злоумышленники смогут управлять бортовым компьютером автомобиля, который отвечает за нормальное функционирование всех компонентов машины. Они считают, что уже скоро хакеры смогут совершать гораздо более опасные преступления – например, подстраивать аварии или шантажировать водителей, угрожая им масштабным ДТП.

Исследователи ADAC смогли проэксплуатировать уязвимость, сымитировав поддельную мобильную сеть. Автомобили BMW пытались связаться с этой сетью, позволяя хакерам управлять функциями, активируемыми с помощью SIM-карты. BMW исправила брешь, добавив поддержку HTTPS в ПО ConnectedDrive.