В ПО ряда моделей BMW обнаружено свыше десятка уязвимостей

image

Теги: BMW, уязвимость, взлом

В общей сложности эксперты обнаружили 14 уязвимостей, затрагивающих модели серий BMW i, BMW X, BMW 3, BMW 5 и BMW 7.

Специалисты Tencent Keen Security Lab опубликовали отчет, описывающий более десятка уязвимостей, выявленных в информационно-развлекательных и телеметрических системах ряда моделей автомобилей BMW. В общей сложности в период с января 2017 года по февраль 2018 года исследователи обнаружили 14 уязвимостей, затрагивающих модели серий BMW i, BMW X, BMW 3, BMW 5 и BMW 7.

Уязвимостям подвержены модели машин вплоть до 2012 года выпуска. Путем совместной эксплуатации проблем исследователи смогли получить доступ с повышенными правами к CAN-шине автомобилей, а также получить локальный доступ к авто или удаленно взломать его. Для удаленного взлома атакующему потребуется проникнуть в локальную сеть GSM, отметили эксперты.

Исследователи Tencent Keen Security Lab и представители BMW сходятся во мнении, что эксплуатация уязвимостей достаточно сложна и может оказаться не по силам большинству атакующих.

Для устранения проблем потребуется модифицировать настройки компонентов и обновить прошивку. По словам немецкого производителя, компания уже выпустила «обновления конфигурации» и сейчас готовит соответствующие обновления прошивки для уязвимых автомобилей.

Ни BMW, ни Keen Security Lab не предоставили полный список подверженных уязвимостям авто и не указали патчи, исправляющие проблемы. В своем отчете Keen Security Lab обнародовала только технические подробности об уязвимостях, более полную информацию и PoC-код эксперты пообещали предоставить в 2019 году.

Как стало известно ранее, крупные автопроизводители, такие как Land Rover, BMW и Volkswagen, годами скрывают от потребителей информацию о рисках безопасности, которым подвержены их автомобили, причем некоторые компании запрещают исследователям публиковать видео с демонстрацией взлома машин.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.