近日，研究人員發(fā)現(xiàn)了影響寶馬i系列、寶馬X系列、寶馬3系、寶馬5系、寶馬7系等高端車型的14個安全漏洞，寶馬公司目前正在為部分車型進行固件升級。

根據(jù)研究人員的說法，他們在2017年1月至2018年2月期間針對寶馬汽車進行了為期一年的實驗，這14個安全漏洞便是在此次實驗中發(fā)現(xiàn)的。

早在2012年，漏洞就已經(jīng)開始影響到寶馬汽車
這些安全漏洞會影響到自2012年以來生產(chǎn)的寶馬汽車，這個定論基于脆弱組件的開始投入使用日期，也就是說其中一些組件在2012年就已經(jīng)開始被配置在汽車上。黑客入侵的切入點是汽車的信息娛樂系統(tǒng)和遠程信息系統(tǒng)，他們能夠結(jié)合這14個漏洞獲得對汽車內(nèi)部CAN總線的訪問權(quán)限——這是連接其他所有汽車組件和功能的組件。

研究人員指出，他們在提供本地訪問（通過U盤）以及遠程攻擊（使用軟件定義的無線電）的場景中，都實現(xiàn)了對寶馬汽車的成功侵入。

想要對寶馬汽車實施遠程攻擊，攻擊者需要破解當(dāng)?shù)氐腉SM移動網(wǎng)絡(luò)。研究人員和寶馬公司都認為，黑客攻擊對于大多數(shù)攻擊者而言是復(fù)雜且難以實現(xiàn)的，盡管這并不是絕對不可能重現(xiàn)的?！拔覀兊难芯拷Y(jié)果證明，在超過某些寶馬汽車組件的特定傳輸速率的情況下，獲取信息娛樂、T-Box組件和UDS通信的本地和遠程訪問是可行的，并能夠在未經(jīng)授權(quán)的情況下執(zhí)行任意遠程診斷寶馬汽車車內(nèi)系統(tǒng)的請求，以獲得對CAN總線的控制權(quán)限?！毖芯咳藛T說。

在2019年以前，不會有深入的技術(shù)細節(jié)和PoC
修復(fù)這14個安全漏洞需要對組件設(shè)置進行更改以及安裝固件補丁。寶馬公司表示已經(jīng)通過連線發(fā)布了“配置更新”，并且正在致力于為所有受影響的汽車提供固件補丁。

固件補丁需要離線安裝，這意味著寶馬公司將在下一次車主將他們汽車開到授權(quán)服務(wù)中心時提供更新

ice

收藏 海報分享