РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Автомобили можно взламывать через интернет

Специалист по кибербезопасности Бенджамин Кунц Менджри из компании Vulnerability Labs обнаружил две опасных уязвимости на фирменном портале BMW ConnectedDrive, которые позволяют злоумышленникам получать доступ к чужим автомобилям.
Тэги:
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

ConnectedDrive представляет собой многофункциональную информационно-развлекательную систему. С её помощью водитель может пользоваться интернетом, слушать онлайн-музыку и смотреть потоковое видео, а также делать ещё много разных вещей. Звучит интересно, но есть пара проблем.

Первая проблема относится к уязвимостям session vulnerability и позволяет злоумышленникам узнать VIN чужого автомобиля. Идентификационный номер выступает в роли логина для учётной записи ConnectedDrive, он же используется для синхронизации системы в автомобиле с аккаунтом пользователя. Подмена настроек на портале через интернет приведёт к тому, что они будут изменены и в автомобиле ничего не подозревающей жертвы.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Уязвимость позволяет обойти валидацию VIN и использовать вместо него VIN другого автомобиля, а после этого изменить его настройки. Доступ к ConnectedDrive позволяет, к примеру, открывать и закрывать автомобиль, читать электронную почту, получать информацию от навигационной системы об истории поездок и передвижениях в реальном времени, редактировать список загруженных музыкальных треков, управлять системой климат-контроля и световыми приборами.

Вторая проблема относится к уязвимостям cross-site scripting, которую удалось обнаружить на странице сброса пароля ConnectedDrive. Это позволяет злоумышленникам получить доступ к персональным данным владельца автомобиля. По словам Бенджамина, он уведомил BMW о найденных проблемах ещё в феврале нынешнего года, но даже спустя пять месяцев баварцы так их и не исправили.

Загрузка статьи...