Cyberbezpieczeństwo

14 poważnych błędów w oprogramowaniu… samochodów BMW

Specjaliści z działającego w strukturach firmy Tencent zespołu Keen Security Lab poinformowali o wykryciu 14 poważnych błędów w oprogramowaniu wykorzystywanym w różnych modelach aut marki BMW (w tym m.in. serii i, X1, 5 oraz 7). Ich zdaniem przynajmniej niektóre z nich mogą posłużyć do skutecznego zaatakowania auta. Na szczęście szczegóły wykrytych podatności zostały przekazane firmie BMW, a ta udostępniła już stosowne aktualizacje.

14 poważnych błędów w oprogramowaniu… samochodów BMW

Opublikowany niedawno raport Keen Security Lab podsumowuje 13 miesięcy analiz oprogramowania wykorzystywanego w różnych modelach samochodów marki BMW – przy czym podczas badań skupiano się przede wszystkim na kodzie aplikacji kluczowych dla funkcjonowania auta oraz pokładowego systemu multimedialnego. Łącznie znaleziono w nim 14 różnych błędów związanych z bezpieczeństwem, na tyle poważnych by ich wykorzystanie mogło wpłynąć na funkcjonowanie pojazdu lub bezpieczeństwo kierowcy i pasażerów. Co istotne, badania prowadzono za zgodą i przy wsparciu koncernu BMW.

W przypadku 9 z 14 zidentyfikowanych błędów do ich skutecznego wykorzystania niezbędne jest uzyskanie fizycznego dostępu do auta. W pozostałych 5 przypadkach atak może było efektywnie przeprowadzić zdalnie, korzystając z Internetu.

Wykryte przez Keen Security Lab błędy pozwalały na wykonywanie niedozwolonych operacji w systemie multimedialnym auta (który – z uwagi na ścisłe zintegrowanie z funkcjami odpowiedzialnymi za sterowanie napędem, pracą silnika itp. – jest czymś znacznie istotniejszym dla funkcjonowania auta niż typowy odtwarzacz CD czy radio), a także komponentach T-box, wśród których były m.in. moduły TCU (Telematics Control Unit) oraz CGM (Central Gateway Module). Umożliwiały one m.in. zdalne wymuszenie wywołania pewnych operacji oraz uruchomienie dowolnych funkcji diagnostycznych.

Na liście luk znajdują się również błędy związane z obsługą pamięci, błędy logiczne, a także problemy konfiguracyjne, które sprawiają, że możliwe jest wykonywanie niedozwolonych operacji w obszarach, które teoretycznie powinny być zupełnie odizolowane od użytkownika (w tym także błędy pozwalające na zdalnie uruchomienie dowolnego kodu). Jako punkt wejścia do przeprowadzenia bazujących na owych błędach ataków specjalistom udało się wykorzystać zarówno samochodowy port diagnostyczny OBD-II, jak i złącza USB i Ethernet, a także bezprzewodowe łącze Wi-Fi.

Jako, że firma BMW partycypowała w testach, to w pierwszej kolejności właśnie jej przekazano wszelkie informacje o błędach w oprogramowaniu. Koncern przygotował już odpowiednie aktualizacje, rozwiązujące wszystkie opisane powyżej problemy – częściowo zostały one już dostarczone użytkownikom za pośrednictwem mechanizmu aktualizacji automatycznej. W niektórych przypadkach część aktualizacji zostanie również przekazana posiadaczom podatnych na atak aut podczas wizyty serwisowej w stacji obsługi.

Autorzy raportu poinformowali również, że w przyszłym roku – gdy pewne już będzie, że do wszystkich użytkowników dotarły aktualizacje – zamierzają opublikować znacznie szerszy raport techniczny na temat błędów oraz zabezpieczeń wykorzystywanych przez BMW w swoich pojazdach. Eksperci z Keen Security Lab zapowiedzieli też, że zamierzają przeprowadzić kolejną fazę testów bezpieczeństwa aut bawarskiej firmy – tym razem skupiając się na bezpieczeństwie opartego na platformie Android systemu nawigacyjno-multimedialnego, oprogramowaniu odpowiedzialnym za funkcje jazdy autonomicznej oraz mechanizmie automatycznej aktualizacji oprogramowania.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *