Luka w zabezpieczeniach BMW wykryta przypadkiem
Sprawa wydała się przypadkiem, przy okazji testów wykonywanych przez ekspertów z niemieckiego automobilkubu ADAC. Chcieli oni zbadać, jakie dane są wysyłane przez auta marki BMW do serwerów producenta – okazało się, że „podsłuchanie” transmisji jest dziecinnie proste, bo jest ona niemal niezabezpieczona. Wykorzystano do tego technikę tzw. fałszywego BTS-a. W pobliżu auta umieszczono urządzenie, które „podawało się” za stację bazową telefonii komórkowej i przechwytywało komunikację pojazdu z centralą firmy. Komendy wysyłane z centrali do auta nie były szyfrowane, a elektronika samochodu wykonywałe je bez weryfikowania autentyczności. Jak to u Niemców – rozkaz to rozkaz!
BMW od roku znało problem
Choć dziura w zabezpieczeniach została wykryta rok temu, informację o niej opublikowano dopiero teraz. Dlaczego tak późno? Bo dopiero teraz BMW zaktualizowało oprogramowanie aut i wprowadziło zabezpieczenia, które mają uniemożliwić zdalny dostęp do pojazdów przez osoby nieupoważnione. Teoretycznie nowe oprogramowanie już zostało zdalnie zainstalowane we wszystkich dotkniętych tym problemem autach, z wyjątkiem tych, które w ostatnim czasie znajdowały się poza zasięgiem sieci GSM, czyli np. stały w podziemnych garażach.
Oficjalnie, mimo istnienia luki w zabezpieczeniach, nie zarejestrowano żadnego przypadku zdalnego przejęcia kontroli nad autem. Z drugiej strony, nie sposób być pewnym, że do takich przypadków nie dochodziło – po tego typu włamaniach po prostu nie ma śladów i jeśli przestępcy nie wpadli na gorącym uczynku, sprawa pozostanie niewykryta.
Jakie funkcje elektroniki BMW mogli kontrolować hakerzy?
– zdalne wykonywanie czynności, w tym otwieranie drzwi
– pobieranie informacji o bieżącym statusie auta, m.in. lokalizacji, zamknięciu zamków
– kontrola położenia auta, prędkości, parametrów pracy silnika
– kontrola pokonywanych tras
– dostęp do poczty
– możliwość zmiany np. numerów telefonu zapisanych w urządzeniu, m.in. numerów pomocy itp.
Te modele BMW, Mini i Rolls Royce miały lukę w zabezpieczeniach
Problem dotyczyć może wszystkich aut wyprodukowanych od marca 2010 do grudnia 2014 roku, wyposażonych w system Connected Drive. Oto szczegółowa lista modeli:
Problem dotyczyć może wszystkich aut wyprodukowanych od marca 2010 do grudnia 2014 roku, wyposażonych w system Connected Drive. Oto szczegółowa lista modeli:
BMW
Seria 1 (E81, E82, E87, E88, F20, F21)
Seria 2, Active Tourer, Coupé i Cabrio (F22, F23, F45)
Seria 3, w tym również Cabrio, Coupé, GT, M3 i Touring (E90, E91, E92, E93, F30, F31, F34, F80)
Seria 4 Coupé, Cabrio, GranCoupé i M4 (F32, F33, F36, F82, F83)
Seria 5, w tym GT i Touring (F07, F10, F11, F18)
Seria 6 Cabrio i GranCoupé (F06, F12, F13)
Seria 7 (F01, F02, F03, F04)
I3 (I01)
I8 (I12)
X1 (E84)
X3 (F25)
X4 (F26)
X 5 (E70, F15, F85)
X6 (E71, E72, F16, F86)
Z 4 (E89)
Mini
3-5d (F55, F56)
Rolls Royce
Phantom mit Coupé und Drophead Coupé (RR1, RR2, RR3)
Ghost (RR4)
Wrait (RR5)