Είναι εύκολο να χακαριστούν οι BMW μέσω ενός browser;

Τα περισσότερα καινούργια αυτοκίνητα αποκτούν νέα συστήματα ενημέρωσης και ψυχαγωγίας, με περισσότερες δυνατότητες σύνδεσης στο ίντερνετ, με στόχο να κάνουν πιο άνετη την παραμονή μέσα σε αυτά. Έτσι αρχίζουμε να βλέπουμε να γίνονται επιθέσεις από hackers στα συστήματα infotainment των αυτοκινήτων. Έχουμε δει να χακάρεται ένα Mitsubishi Outlander PHEV αλλά και το Jeep Cherokee

με την FCA να κάνει ανάκληση για να αναβαθμίσει το Uconnect σύστημα που τοποθετεί σε αρκετά μοντέλα της.

Ένα τέτοιο κίνδυνο χακαρίσματος φαίνεται ότι αντιμετωπίζει το σύστημα ConnectedDrive της BMW. Ο ερευνητής Benjamin Kunz Mejri του Vulnerability Laboratory ανακάλυψε δυο κενά ασφαλείας, το ένα πιο σημαντικό από το άλλο. Η πιο σημαντική αδυναμία του συστήματος είναι ότι επιτρέπει σε κάποιον να δώσει πρόσβαση στο αριθμό VIN άλλου αυτοκίνητου, το οποίο θα του δώσει την δυνατότητα να κλειδώσουν ή να ξεκλειδώσουν το αυτοκίνητο που σχετίζεται με τον αριθμό VIN καθώς και την πρόσβαση στο λογαριασμό ηλεκτρονικού ταχυδρομείου του ιδιοκτήτη του αυτοκίνητου καθώς και άλλα δεδομένα του συστήματος ενημέρωσης και ψυχαγωγίας.

Το άλλο θέμα ευπάθειας είναι λιγότερο σοβαρό αλλά παραμένει εξίσου σημαντικό. Τεχνικά περιγράφεται ως ένας απομακρυσμένος εισβολέας που θέλει να εισάγει τους δικούς του κακόβουλους κώδικες στην πλευρά του πελάτη που επηρεάζει την μονάδα του πλαισίου, το οποίο σημαίνει ότι με την επαναφορά του κωδικού πρόσβασης του Connected Drive υπάρχει η δυνατότητα για ένα χάκερ να εισάγει ένα κακόβουλο κώδικα στο portal της BMW.

Μέχρι στιγμής η BMW δεν έχει σχολιάσει δημόσια για τα τρωτά σημεία και είναι πιθανό να εργάζονται ώστε να διορθωθεί σύντομα το παραπάνω κενό ασφαλείας.