BMW выпускает патч для исправления уязвимости, позволяющей хакерам разблокировать двери автомобиля

04.02.2015 | 00:32 Экономика

BMW выпустила патч для уязвимости, которая присутствует в 2,2 млн. автомобилей и позволяет хакерам удаленно разблокировать двери.

Немецкий автопроизводитель BMW только что исправил уязвимость в своем программном обеспечении ConnectedDrive, которая могла бы позволить хакерам разблокировать автомобиль с помощью мобильного телефона.

Несколько лет назад BMW отмахнулась от информации о кражах, совершенных при использовании ее систем доступа без ключа, заявив, что проблема воровства автомобилей присутствует вне зависимости — используют ли владельцы ключи или нет. В том случае считалось, что хакеры использовали устройства, которые подключаются к порту бортовой диагностики автомобиля (ODB), чтобы запрограммировать новый брелок дистанционного управления сигнализацией.

На новую аналогичную уязвимость BMW, похоже, отреагировала чуть более серьезно: на прошлой неделе она выпустила патч, который затрагивает до 2,2 млн автомобилей BMW, Mini и Rolls-Royce, использующих программное обеспечение BMW ConnectedDrive.

Платформа включает в себя SIM-карту для поддержки связи для навигации и приложений, а также функции аварийного вызова, помощи на дорогах и Wi-Fi роутер. Кроме того, она также может быть использована для контроля блокировки системы транспортного средства.

Немецкая автомобильная ассоциация ADAC, которая сообщила об обнаруженном баге в BMW, заявила, что продемонстрировала на нескольких моделях, как хакеры могут использовать свой мобильный телефон, чтобы открыть машину «в течение нескольких минут», не оставляя следа.

BMW точно не описала уязвимость, но подтвердила в своем заявлении, что ADAC нашла «потенциальный пробел в системе безопасности при передаче данных» и добавила, что она «усилит безопасность» ConnectedDrive, обеспечивая использование протокола HTTPS для шифрования веб-трафика при передаче данных.

HTTPS традиционно используется банками для подключения пользователей к веб-сайтам по зашифрованному каналу. В последние годы, однако, протокол стал более широко используемым — для предотвращения перехвата данных хакерами и правительственными шпионами.

BMW сказала об обновлении: «Онлайн-сервисы BMW Group ConnectedDrive используют в этой конфигурации протокол HTTPS, который ранее использовался для сервиса BMW Internet и других функций».

«Пакеты BMW Group ConnectedDrive используют шифрование, которое в большинстве случаев также используется банками для онлайн-банкинга. С одной стороны, данные шифруются с помощью протокола HTTPS, а с другой стороны, идентичность сервера BMW Group проверяется автомобилем, прежде чем данные передаются по мобильной сети».

«Таким образом, BMW Group отреагировала оперативно и увеличила безопасность BMW Group ConnectedDrive, потому что не известно ни об одном случае, при котором данные активно запрашивались неавторизованными лицами извне».

Патч BMW появляется в то время, как хакеры обращают более пристальное внимание на безопасность подключенных автомобилей, в частности, насколько хорошо производители изолируют основные компоненты, которые контролируют рулевое управление и тормоза от других, используемых для связи. Как отмечают исследователи Чарли Миллер и Крис Валясек на BlackHat 2014, Bluetooth является главной мишенью, потому что его относительно легко взломать, в то время как встроенная система сотовой связи в автомобилях является «святым Граалем» для хакеров, потому что она позволяет производить атаки на больших расстояниях.