Kinesiske hackere finder lang række sikkerhedshuller i BMW'er

Illustration: Wikimedia
Et stort antal BMW-modeller har i hvert fald siden 2012 været påvirket af 14 sikkerhedshuller, der potentielt kan gøre hackere i stand til at overtage dele af bilernes funktioner på afstand.

Kinesiske sikkerhedsforsker har fundet frem til fjorten sårbarheder i BMW-bilers indbyggede CPU'er. Fejlene har påvirket bilerne i hvert fald siden 2012, og nogle af dem kan potentielt give fjernadgang til bilernes systemer.

Det skriver The Hacker News.

Fejlene blev fundet gennem et sikkerhedsaudit, som forskere fra Keen Security Lab - en forskningsenhed under det kinesiske firma Tencent - foretog mellem januar 2017 og februar 2018.

I marts 2018 fremlagde enheden de 14 forskellige sårbarheder for BMW Group. Nu er bilproducenten begyndt at udrulle patches for fejlene, og i den forbindelse har sikkerhedsforskerne offentliggjort en 26 sider lang teknisk rapport, hvori de beskriver deres fund.

Dog har de udeladt dele med vigtige tekniske detaljer for at forhindre, at oplysningerne bliver misbrugt. Den fulde version kommer derfor først ud til offentligheden i 2019, hvor BMW forventes at have taget alle de nødvendige foranstaltninger mod sårbarhederne.

Læs også: Dødt bilbatteri og antenneproblemer: Hackere fik aldrig åbnet biler på Infosecurity

Holdet af sikkerhedsforskere fokuserede på tre kritiske komponenter i flere forskellige BMW-modeller:

  • De fandt otte fejl, der påvirker det såkaldte 'Infotainment System', der er forbundet til internettet og blandt andet kan afspille musik og andre medier.

  • Fire fejl påvirker den såkaldte 'Telematics Control Unit', der sørger for telefoni-tjenester, ulykkeservice og gør det muligt at låse døren fra afstand.

  • De sidste to fejl påvirker 'Central Gateway Module', der er designet til at modtage diagnostik-meddelelser fra de to andre komponenter og overføre dem til andre elektroniske kontrolenheder og bilens CAN-bus.

Læs også: Hackere kan stjæle din bilnøgle, uden at den forlader din lomme: »Pak den ind i sølvpapir«

Hvis angribere udnyttede sårbarhederne, ville de være i stand til at sende falske diagnostik-meddelelser til køretøjets motorkontrolenhed, der kontrollerer bilens elektriske funktioner, samt til CAN-bussen.

Det ville give angriberne fuld kontrol over visse dele af bilens funktioner. Mens otte af sårbarhederne ville kræve en vis fysisk adgang til bilen, så kan de seks resterende udnyttes på afstand. Enten gennem mobilnetværk eller bluetooth.

Påvirkede BMW-modeller tæller blandt andet BMW i-Serie, BMW X-Serie, BMW 3-Serie, BMW 5-Serie og BMW 7-Serie.

BMW har bekræftet fundene og er begyndt at udrulle opdateringer for at fikse nogle af fejlene. Andre skal patches gennem forhandlere.

Læs også: Bilproducenter gør klar til at sælge dine data til højestbydende

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Würtz

Tesla havde også huller som blev fundet for et par år siden.
Et par dage før historien kom ud sørgede alle biler for at lave en tvungen software-patching.
Det kostede helt sikkert et par lange nætter for et par programmører, men er langt billigere end hvad tyskerne nu står overfor.

Henrik Madsen

Tesla havde også huller som blev fundet for et par år siden.
Et par dage før historien kom ud sørgede alle biler for at lave en tvungen software-patching.
Det kostede helt sikkert et par lange nætter for et par programmører, men er langt billigere end hvad tyskerne nu står overfor.

Personligt vil jeg egentligt hellere at min bil skal en tur omkring forhandleren for at blive opdateret, end at forhandleren (Eller en hacker) smider en OTA opdatering ud til min bil.

Kald mig bare gammeldags, men jeg ser ingen grund til at min bil skal være koblet til internettet (Af de samme grunde som atomkraftværker, vandforsyning, elværker og så videre heller ikke bør).

PS. Jeg er godt klar over at Tesla vil sige at deres opdaterings mekanisme er meget sikker og beskyttet af certifikater og så videre, så kun de selv kan sende opdateringer.........Lige indtil nogen hacker sig vej til certifikaterne og sender en opdatering.....

Log ind eller Opret konto for at kommentere