Pesquisadores de segurança chineses descobriram mais de uma dúzia de vulnerabilidades nas unidades de computação a bordo dos carros da BMW, alguns dos quais podem ser explorados remotamente para comprometer um veículo.
As falhas de segurança foram descobertas durante uma auditoria de segurança de um ano conduzida por pesquisadores do Keen Security Lab, uma unidade de pesquisa de segurança cibernética da empresa chinesa Tencent, entre janeiro de 2017 e fevereiro de 2018.
Em março de 2018, a equipe divulgou 14 vulnerabilidades diferentes diretamente. o BMW Group, que afeta seus veículos desde, pelo menos, 2012.
Eles são o mesmo grupo de pesquisadores que já encontraram várias vulnerabilidades em vários módulos usados pelo Tesla , que poderiam ter sido explorados para obter controles remotos em um carro alvo.
Agora que BMW começou a rolar para fora patches para as vulnerabilidades para os proprietários de automóveis, os investigadores têm vindo a público um relatório técnico de 26 páginas [ PDF ] descrevendo suas descobertas, embora eles evitado publicar alguns detalhes técnicos importantes para evitar abusos.
Os pesquisadores disseram que uma cópia completa de sua pesquisa deve aparecer em algum momento no início de 2019, pelo qual o grupo BMW mitigará totalmente as vulnerabilidades.
A equipe de pesquisadores chineses da área de infosec concentrou-se em três componentes veiculares críticos - sistema de informação e lazer (unidade de controle), unidade de controle de telemática (TCU ou T-Box) e módulo de gateway central em vários modelos da BMW.
Aqui está a lista de falhas descobertas pelos pesquisadores:
- 8 falhas afetam o Sistema de Informações e Entretenimento conectado à internet que reproduz música e mídia
- 4 falhas afetam a unidade de controle de telemática (TCU) que fornece serviços de telefonia, serviços de assistência a acidentes e capacidade de bloquear / desbloquear as portas do carro remotamente.
- 2 falhas afetam o Módulo Central de Gateway que foi projetado para receber mensagens de diagnóstico da TCU e da unidade de infoentretenimento e, em seguida, transferi-las para outras Unidades de Controle Eletrônico (ECUs) em diferentes barramentos CAN.
A exploração dessas vulnerabilidades pode permitir que invasores enviem mensagens de diagnóstico arbitrárias para a unidade de controle do motor (ECU) do veículo alvo, que controla as funções elétricas do carro, e para o barramento CAN, que é a medula espinhal do veículo.
Isso permitiria que os trapaceiros tivessem controle total sobre o funcionamento do veículo afetado até certo ponto.
Quatro falhas exigem um acesso USB físico ou acesso à porta ODB (diagnóstico on-board), o que significa que os invasores precisam estar dentro do seu veículo para explorá-los conectando um gadget cheio de malware à porta USB.
Outras quatro vulnerabilidades requerem acesso físico físico ou "indireto" ao carro.
No entanto, seis vulnerabilidades podem ser exploradas remotamente para comprometer as funções do veículo, incluindo uma realizada em curto alcance via Bluetooth ou em longo alcance via redes celulares, mesmo quando o veículo estiver sendo conduzido.
A equipe confirmou que as vulnerabilidades existentes na Unidade Principal afetariam vários modelos da BMW, incluindo BMW Série i, Série BMW X, Série BMW 3, Série BMW 5, Série BMW 7.
No entanto, os pesquisadores disseram que as vulnerabilidades descobertas na Unidade de Controle de Telemática (TCB) afetariam "modelos BMW equipados com este módulo produzido a partir do ano de 2012."
BMW confirmouAs descobertas e já começaram a lançar atualizações pelo ar para corrigir alguns bugs no TCU, mas outras falhas precisarão de patches através dos revendedores, razão pela qual os pesquisadores programaram seu relatório técnico completo até março de 2019. A
BMW também recompensou Keen Pesquisadores do Security Lab com o primeiro vencedor do BMW Group Digitalization e IT Research Award, descrevendo suas pesquisas "de longe os testes mais abrangentes e complexos já realizados em veículos do Grupo BMW por terceiros".
FONTE:THEHACKERNEWS
Comentários
Postar um comentário