Всеобщий немецкий автомобильный клуб (ADAC) сообщил об обнаружении уязвимости в реализации системы BMW ConnectedDrive: брешь позволяет разблокировать автомобиль буквально за считанные минуты при помощи, скажем, смартфона со специальным ПО.
ConnectedDrive предлагает владельцам автомобилей BMW широкий спектр интеллектуальных услуг и приложений, которые предоставляют различную информацию и мультимедийные материалы. Проблема связана с функцией, позволяющей владельцам, оставшимся снаружи случайно заблокированного автомобиля, запросить открытие дверей по мобильной связи через сервис поддержки.
Обнаруженная брешь даёт злоумышленникам возможность сымитировать работу серверов BMW и послать автомобилю инструкции на разблокировку. Комментируя сообщение ADAC, в BMW заявили следующее:
«Им [исследователям] удалось осуществить обратный инжиниринг некоторого программного обеспечения, которое мы использует для телематики. После этого они смогли сымитировать серверы BMW».
Проблема затрагивает практически все автомобили BMW, Mini и Rolls-Royce, оснащённые системой ConnectedDrive. В ближайшие дни BMW начнёт распространять программный апдейт для 2,2 млн машин, добавляющий HTTPS-шифрование при обмене данными между сервером и транспортным средством. В BMW также подчёркивают, что практических случаев эксплуатации уязвимости зафиксировано не было.
Однако проблема может оказаться гораздо более глубокой, чем кажется на первый взгляд. В современных автомобилях бортовой компьютер может управлять всеми ключевыми системами — двигателем, рулевым колесом и тормозами. При этом многие машины поддерживают обмен данными через сотовые сети и Wi-Fi. Разумеется, всё это не может не вызывать интерес со стороны хакеров и угонщиков, которые получают широчайшее поле для своих изысканий.
Источник: 3dnews.ru