اكتشف باحثو الأمن الصينيون أكثر من اثني عشر من نقاط الضعف في الوحدات الحاسوبية على متن سيارات BMW ، والتي يمكن استغلال بعضها عن بعد في اختراق سيارة.
وقد تم اكتشاف ثغرات أمنية خلال التدقيق الأمني لمدة عام أجراها باحثون من مختبر الأمن كين، وحدة الأبحاث الأمن السيبراني من شركة صينية تينسنت، بين يناير 2017 وفبراير 2018.
وفي مارس 2018، وفريق كشف مسؤول 14 نقاط الضعف المختلفة مباشرة ل مجموعة BMW ، التي تؤثر على سياراتها منذ عام 2012 على الأقل.
هذه هي نفس المجموعة من الباحثين الذين سبق لهم العثور على نقاط ضعف متعددة في وحدات مختلفة داخل السيارة تستخدمها Tesla ، والتي كان من الممكن استغلالها لتحقيق التحكم عن بعد في سيارة مستهدفة.
والآن بعد أن بدأت BMW في طرح بقع على نقاط الضعف لمالكي السيارات ، فقد نشر الباحثون تقريرًا فنيًا مكونًا من 26 صفحة [ PDF ] يصف النتائج التي توصلوا إليها ، على الرغم من أنهم تجنبوا نشر بعض التفاصيل الفنية المهمة لمنع سوء الاستخدام.
وقال الباحثون إنه من المتوقع أن تظهر نسخة كاملة من أبحاثهم في وقت مبكر من أوائل عام 2019 ، والتي تخفف منها مجموعة BMW بالكامل من نقاط الضعف.
وقد ركز فريق الباحثين الصينيين في infosec على ثلاثة مكونات مهمة للمركبات - نظام المعلومات والترفيه (وحدة المعلومات) ، وحدة التحكم في المعلومات عن بعد (TCU أو T-Box) ، ووحدة البوابة المركزية في العديد من طرازات BMW.
إليكم قائمة العيوب التي كشف عنها الباحثون:
- 8 عيوب تؤثر على نظام المعلومات والترفيه المتصل بالإنترنت والذي يقوم بتشغيل الموسيقى والإعلام
- 4 عيوب تؤثر على وحدة التحكم في التليماتية (TCU) التي توفر خدمات الهاتف ، وخدمات مساعدة الحوادث ، والقدرة على قفل / فتح أبواب السيارة عن بعد.
- تؤثر عيوبتان على وحدة البوابة المركزية التي تم تصميمها لتلقي رسائل تشخيصية من وحدة تنسيق TCU ووحدة المعلومات والترفيه ، ومن ثم نقلها إلى وحدات التحكم الإلكترونية الأخرى (ECU) على متن حافلات CAN مختلفة.
قد يؤدي استغلال هذه الثغرات الأمنية إلى السماح للمهاجمين بإرسال رسائل تشخيصية عشوائية إلى وحدة التحكم في محرك السيارة المستهدفة (ECU) ، والتي تتحكم في الوظائف الكهربائية للسيارة ، وإلى ناقل CAN ، وهو الحبل الشوكي للمركبة.
وهذا من شأنه في نهاية المطاف أن يسمح للأوغاد بالسيطرة الكاملة على تشغيل السيارة المتضررة إلى حد ما.
تتطلب أربع عيوب وصول USB فعليًا أو الوصول إلى منفذ ODB (تشخيص اللوحة) ، مما يعني أن المهاجمين يجب أن يكونوا داخل سيارتك لاستغلالهم عن طريق توصيل أداة محملة بالبرامج الضارة إلى منفذ USB.
نقاط الضعف الأربعة الأخرى تتطلب الوصول المادي أو "غير المباشر" إلى السيارة.
ومع ذلك ، يمكن استغلال ستة نقاط ضعف عن بعد لتهديد وظائف المركبة ، بما في ذلك وظيفة يتم تنفيذها عبر مدى قصير عبر البلوتوث أو عبر نطاق طويل عبر الشبكات الخلوية ، حتى عندما تكون السيارة مدفوعة.
وأكد الفريق أن نقاط الضعف الموجودة في الوحدة الرئيسية ستؤثر على العديد من طرازات BMW ، بما في ذلك BMW i Series ، BMW X Series ، BMW 3 Series ، BMW الفئة الخامسة ، BMW الفئة السابعة.
ومع ذلك ، قال الباحثون إن نقاط الضعف التي تم اكتشافها في وحدة التحكم في التليماتية (TCB) ستؤثر على "طرازات BMW التي تم تجهيزها بهذه الوحدة المنتجة من العام 2012."
وقد أكد BMWالنتائج وبالفعل بدأت المتداول خارج على الهواء تحديثات لإصلاح بعض الخلل في TCU، ولكن عيوب أخرى تحتاج بقع من خلال تجار، وهذا هو السبب الباحثين والمقرر التقرير الفني الكامل لشهر مارس 2019.
مكافأة BMW أيضا كين الباحثون في مختبر الأمن مع الفائز الأول في جائزة مجموعة BMW الرقمية في مجال تكنولوجيا المعلومات وتكنولوجيا المعلومات ، وصفوا أبحاثهم "إلى حد بعيد بأكثر الاختبارات شمولاً وتعقيداً على الإطلاق على سيارات مجموعة BMW من قبل طرف ثالث".