BMW patcht beveiligingslek in miljoenen auto's
BMW heeft een patch uitgerold voor een beveiligingslek waardoor criminelen de deuren van verschillende modellen via een mobiele telefoon konden openen. De kwetsbaarheid bevond zich in ConnectedDrive, een slim systeem dat in 2,2 miljoen auto's aanwezig is, waaronder die van Mini en Rolls Royce. Via het systeem en een permanent geïnstalleerde simkaart kan ConnectedDrive gegevens met de autofabrikant uitwisselen.
Onderzoekers van de Allgemeine Deutsche Automobil-Club (ADAC) hadden het probleem met het systeem ontdekt (pdf). Naast het openen van deuren zou een aanvaller ook de locatie van het voertuig kunnen achterhalen en e-mails kunnen onderscheppen. Details wil ADAC pas geven als het probleem is opgelost, om zo criminelen niet te helpen.
BMW stelt in een verklaring dat het lek zich in de communicatie via het mobiele telefoonnetwerk bevond. Daarbij zouden aanvallers niet de besturing van het voertuig hebben kunnen overnemen. Om het probleem te verhelpen is er een update uitgerold die automatisch wordt geïnstalleerd als een voertuig verbinding met de BMW Group server maakt of de bestuurder de serviceconfiguratie handmatig opvraagt. Bestuurders zouden in ieder geval niet met hun auto naar de garage hoeven.
Volgens de Duitse autofabrikant wordt voor de communicatie nu HTTPS gebruikt, wat eerder al voor BMW Internet en andere functies werd toegepast. Alle uitgewisselde gegevens zouden via HTTPS worden versleuteld. Daarnaast zou de auto voortaan eerst de identiteit van BMW Group Server controleren voordat er gegevens via het mobiele telefoonnetwerk worden uitgewisseld.
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Feitelijke is het een rijdende spionage toolbox.
Als dergelijke kwetsbaarheden het al mogelijk maken de deuren te openen, ben ik benieuwd wat we straks gaan zien in zelf rijdende auto's. Bijv. als ze worden overgenomen en ineens niet meer zelfrijdend worden maar meer op afstand bestuurbare gevaartes gaat lijken ;)
Ben overigens benieuwd hoe het nu gaat dan; SSLv3 met RC4-MD5 zonder Forward Secrecy?
Los daarvan:
Nee ik ben niet free to do what i really want to do want je communiceert alles BMW/HAL
Als ik free ben om to do wat ik really want to do dan log je niet alles mafkees.
BMW/HAL:this conversation can serve no purpose anymore. Goodbye. I will not start your car, succes with the NS....
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Tja, het is gewoon een op (alle) technische fronten continue actief analysesysteem. Dit bestaat al jáááren in de Formule-1 klasse autosport en is vandaar naar de daaropvolgende raceklassen doorgesijpeld. Nu is de 'patser-automobiel' hier ook van voorzien.
Logische ontwikkelingen. Niets meer of minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
