Уязвимость в ПО от BMW позволяла хакерам угонять автомобили

BMW исправила уязвимость, позволяющую хакерам разблокировать двери более 2,2 млн машин серии Rolls-Royce, Mini и BMW. Об этом сообщается в пресс-релизе концерна. По словам представителей BMW, уязвимость обнаружили ADAC. Брешь затрагивала машины, оснащенные ПО ConnectedDrive со встроенными SIM-картами. ConnectedDrive позволяет авторизованным водителям удаленно активировать механизмы блокировки дверей, получать информацию об обстановке на дороге, изменять настройки кондиционера и просматривать другую информацию, связанную с автомобилем.

Уязвимость существовала из-за ошибки при передаче данных. BMW заверяет, что брешь не позволяла хакерам захватить контроль над критическими функциями автомобиля – управлением, разгоном и торможением. Более того, компания утверждает, что безопасность самих автомобилей не пострадала.

В последние годы эксперты неоднократно критиковали производителей автомобилей за недостаточное обеспечение безопасности автомобилей с функциями передачи данных через сеть. Специалисты опасаются, что, обойдя ограничения безопасности, хакеры смогут управлять бортовым компьютером автомобиля, который отвечает за нормальное функционирование всех компонентов машины. Они считают, что уже скоро хакеры смогут совершать гораздо более опасные преступления – например, подстраивать аварии или шантажировать водителей, угрожая им масштабным ДТП.

Исследователи ADAC смогли проэксплуатировать уязвимость, сымитировав поддельную мобильную сеть. Автомобили BMW пытались связаться с этой сетью, позволяя хакерам управлять функциями, активируемыми с помощью SIM-карты. BMW исправила брешь, добавив поддержку HTTPS в ПО ConnectedDrive.