Sårbarhet kan låse opp bilen fra nettet
BMW Connected Drive er hacket, kan etterligne servere og låse opp bilen med en melding. 2,2 millioner biler må oppdatere programvaren.
Det er oppdaget en sårbarhet i BMW-systemet Connected Drive som gjør det mulig å etterligne BMW-servere og låse opp biler over internett, skriver amerikanske PC World.
Sikkerhetsfeilen ble oppdaget av sikkerhetsforskere ved den tyske motorklubben Allgemeiner Deutcher Automobil-Club (ADAC) og er verifisert som et problem på en rekke modeller.
- De klarte å utføre "omvendt utvikling" på noe av programvaren som vi bruker for vår telematikk. Da ble de i stand til å etterligne BMW-serveren, sier BMW-talsmannen Dave Buchko til PC World.
Sårbarheten utnytter en funksjon som lar bileiere som har låst seg ute fra kjøretøyet sitt be om fjernopplåsing via BMW kundeservice. BMW skal nå være i gang med å dytte ut programvareoppdatering til omlag 2,2 millioner biler med Connected Drive.
Så langt er det ikke trolig at sårbarheten er blitt utnyttet av svarthatter.
Krypterer med HTTPS
Trafikken går over vanlig telenett, og oppdateringen fra BMW legger til kryptering med HTTPS mellom BMW-serveren og bilen. På den måten vil ikke bare innhold i meldingene være vanskelig å snappe opp, men det vil også sikre at bilen kun aksepterer kommunikasjon fra server med riktig og verifisert sikkerhetssertifikat.
Hva om det var bremsene?
Sårbarheten kaster lys over utfordringene med sikkerhet i "smartbiler" (og ved forlengelse - tingenes internett), mener sikkerhetsorganisasjonen The Cavalry. Mange moderne biler kommer med blåtann, trådløst nett og telenett som kan brukes til å koble bilen mot smartenheter og tredjeparts-applikasjoner. Samtlige åpner mulige innganger og angrepsvektorer.
- Dersom alt sårbarheten gjør er å åpne låsene, så er det bekymringsfullt, men om den også kunne brukes til å sende meldinger om å slå av bremsene, så ville det vært katastrofalt, sier Joshua Corman i The Cavalry til PC World.