Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak otworzyć BMW bez kluczyka? Przez niezałataną podatność w ConnectedDrive Web portal

10 lipca 2016, 09:19 | W biegu | komentarze 2

Zgłoszona w lutym tego roku podatność zostaje przez 5 miesięcy niezałatana. Całość sprowadza się do podobnego problemu jak tegoroczna kompromitacja Nissana Leaf – mając VIN ofiary atakujący może go przydzielić do swojego konta (wykorzystany jest tu błąd aplikacji umożliwiający obejście mechanizmu walidującego VIN) – a następnie zdalnie sterować pewnymi funkcjami samochodu.

Co można zrobić? Całkiem dużo, w tym otwierać/zamykać samochód i dostawać się do funkcji systemu multimedialnego:.

The settings available through the ConnectedDrive portal include the ability to lock/unlock the vehicle, manage song playlists, access email accounts, manage routes, get real-time traffic information, and so on.

hns

Źródło: https://www.helpnetsecurity.com/2016/07/08/bmw-connecteddrive-flaws/

Badacz Benjamin Kunz Mejri pokazał pełen PoC ataku, ale na szczęście nic nie wspomniano o możliwościach sterowania krytycznymi funkcjami samochodu jak np. hamulce – co miało jakiś czas temu miejsce np. w przypadku Jeepa.

Oczywiście podatne mogą być te modele BMW, które wspierają dostęp przez ConnectedDrive web portal.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. BGP

    Na naszych oczach zaczyna zawierać się granicą między fizycznym włamaniem, np. do samochodu, a wykorzystanim luki w systemie elektronicznym typu serwis internetowy. Pamiętać trzeba przy tym, że na horyzoncie jest potencjalny bum na internet rzeczy… Co to się będzie dziać?!

    Odpowiedz

Odpowiedz