Германская организация автомобилистов сообщила о том, что функция дистанционного разблокирования замков дверей в системе Connected Drive автомобилей BMW реализована так, что позволяет злоумышленникам имитировать отправку команд на разблокирование с сервера BMW.
Автомобили с системой Connected Drive оборудованы подключением к сотовой сети. Если владелец оставил ключи в машине, он может позвонить в службу поддержки BMW и попросить дистанционно разблокировать двери. Специалисты разобрались в протоколе связи и выяснили, что соединение с сервером не шифровалось.
В компании подтвердили наличие уязвимости. В новой версии программ Connected Drive, автоматическая рассылка которой идет с 8 декабря, реализовано шифрование по протоколу HTTPS, и компьютер автомобиля больше не будет принимать команды от неавторизованных серверов. Система Connected Drive установлена примерно на 2,2 млн автомобилей, однако в компании заявляют, что попыток проникновения с помощью описанного метода до сих пор обнаружено не было. В ближайшие дни BMW рассчитывает полностью завершить обновление программ.
Германская организация автомобилистов призывает производителей обеспечить защиту автомобилей от несанкционированного доступа, используя хорошо известные в ИТ-отрасли стандарты. Кроме того, системы должны сертифицироваться независимой организацией, считают активисты.