BMW было известно о бреши в своем приложении еще за полгода до ее огласки

image

Теги: автомобиль, BMW, уязвимость, облачные технологии

My BMW Remote содержит брешь, позволяющую хакерам осуществить атаку «человек посередине».

В конце июля текущего года ИБ-исследователь Сами Камкар (Samy Kamkar)  представил  устройство OwnStar, которое перехватывает сообщения между мобильным приложением OnStar RemoteLink и облачным сервисом OnStar. Приложение позволяет дистанционно разблокировать и запускать двигатель автомобиля практически с любого местоположения пользователя. Компания GM, на автомобилях которой Камкар продемонстрировал работу устройства, уже исправила уязвимость в приложении для девайсов на базе iOS. Эксперту также удалось выяснить, что брешь затрагивает приложения mbrace для автомобилей Mercedes, My BMW Remote для BMW и Uconnect для Chrysler.

Камкар сообщил компаниям об уязвимости, однако оказалось, что BMW было известно о бреши еще за несколько месяцев до того, как описание уязвимости стало общедоступным. Согласно заявлению соучредителя фирмы Securify Хана Шахина (Han Sahin), он обнаружил и рассказал BMW о данной уязвимости 22 апреля 2015 года. Представители компании подтвердили отчет специалиста на следующий день, однако брешь в приложении для устройств на базе iOS до сих пор является неисправленной.

Шахин сообщил изданию SecurityWeek, что такой крупной компании, как BMW должно было с лихвой хватить 3 месяцев на исправление уязвимости. В настоящее время приложение My BMW Remote содержит брешь, которая позволяет злоумышленникам осуществить атаку «человек посередине». Представители BMW заявили, что данную кибератаку практически невозможно осуществить в реальной жизни.

Напомним , что Камкар также является автором устройства, которое может разблокировать двигатели Nissan, Cadillac, Ford, Toyota, Lotus, Volkswagen и Chrysler, обойдя системы сигнализации Cobra и Viper и системы дистанционного открытия гаражных дверей Genie и Liftmaster. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.