Biznes i Finanse
Eksperci znaleźli podatności w systemach sterujących BMW
Nowa aplikacja pozwalająca na zdalną kontrolę nad systemami wybranych modeli BMW posiada dwie krytyczne podatności. Oznacza to, że hakerzy z ich pomocą bez trudu mogą przejąć kontrolę nad samochodem. Pomimo ostrzeżeń, producent samochodów nie załatał jeszcze luk.
Odkrycia dokonał ekspert od cyberbezpieczeństwa Kunz Mejri. Znalazł on dwie podatności typu zero – day – czyli takie, które nie zostały jeszcze wykryte przez producenta oprogramowania. Wciąż nie zostały one załatane – co oznacza, że wykorzystując je hakerzy są w stanie przejąć kontrolę nad samochodami tej marki, które korzystają ze zdalnych systemów kierowania.
Chodzi o systemy kontrolujące wybrane modele BMW za pomocą portalu ConnectedDrive. Systemy te pozwalają kierowcy regulować funkcje samochodu zdalnie, z poziomu laptopa lub smartfona. Pozwala to ustawić np. klimatyzację, światła, sprawdzić poziom oleju czy funkcjonowanie hamulców - bez zbliżania się do samochodu. Kolejny krok w stronę powszechnego internetu rzeczy (Internet- of – Things) okazał się jednak poważnie szkodzić bezpieczeństwu kierowców. Włamanie się do systemu pozwoli bowiem hakerowi na otworzenie drzwi i uruchomienie auta bez fizycznego uszkodzenia go.
Pierwsza podatność w internetowym serwisie BMW Connected Drive dotyczy numeru VIN. Cyberprzestępcy są w stanie wykorzystać ją, by manipulować numerem VIN samochodu, a także zmienić ustawienia pojazdu. Podatność możliwa jest do wykorzystania podczas logowania się do systemu. Druga luka to podatność typu cross – site scripting, która pozwala atakującemu na zainstalowanie złośliwego kodu w panelu klienta.
Odkrywca poinformował BMW o tych podatnościach w lutym. Do dzisiaj jednak nie pojawiła się informacja o ich załataniu. Nie jest to pierwsza sytuacja, kiedy systemy zdalnego sterowania samochodem okazują się być podatne na atak hakerów. W czerwcu okazało się, że specjaliści od cyberzabezpieczeń byli w stanie przejąć kontrolę nad aplikacją sterującą najnowszym modelem Mitsubishi Outlander. Dzięki temu zdalnie wyłączyli system zabezpieczeń samochodu. Wtedy postrzegano ten incydent jako poważne ostrzeżenie dla producentów rozwiązań stosujących internet rzeczy. Jak się okazuje, nauka na niewiele się zdała. Internet-of- Things wciąż pozostaje przestrzenią słabo zabezpieczoną przed cyberatakami.
Czytaj też: Hakerzy przejęli kontrolę nad Mitsubishi Outlander