BMW patcht beveiligingslek in miljoenen auto's
BMW heeft een patch uitgerold voor een beveiligingslek waardoor criminelen de deuren van verschillende modellen via een mobiele telefoon konden openen. De kwetsbaarheid bevond zich in ConnectedDrive, een slim systeem dat in 2,2 miljoen auto's aanwezig is, waaronder die van Mini en Rolls Royce. Via het systeem en een permanent geïnstalleerde simkaart kan ConnectedDrive gegevens met de autofabrikant uitwisselen.
Onderzoekers van de Allgemeine Deutsche Automobil-Club (ADAC) hadden het probleem met het systeem ontdekt (pdf). Naast het openen van deuren zou een aanvaller ook de locatie van het voertuig kunnen achterhalen en e-mails kunnen onderscheppen. Details wil ADAC pas geven als het probleem is opgelost, om zo criminelen niet te helpen.
BMW stelt in een verklaring dat het lek zich in de communicatie via het mobiele telefoonnetwerk bevond. Daarbij zouden aanvallers niet de besturing van het voertuig hebben kunnen overnemen. Om het probleem te verhelpen is er een update uitgerold die automatisch wordt geïnstalleerd als een voertuig verbinding met de BMW Group server maakt of de bestuurder de serviceconfiguratie handmatig opvraagt. Bestuurders zouden in ieder geval niet met hun auto naar de garage hoeven.
Volgens de Duitse autofabrikant wordt voor de communicatie nu HTTPS gebruikt, wat eerder al voor BMW Internet en andere functies werd toegepast. Alle uitgewisselde gegevens zouden via HTTPS worden versleuteld. Daarnaast zou de auto voortaan eerst de identiteit van BMW Group Server controleren voordat er gegevens via het mobiele telefoonnetwerk worden uitgewisseld.
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Feitelijke is het een rijdende spionage toolbox.
Als dergelijke kwetsbaarheden het al mogelijk maken de deuren te openen, ben ik benieuwd wat we straks gaan zien in zelf rijdende auto's. Bijv. als ze worden overgenomen en ineens niet meer zelfrijdend worden maar meer op afstand bestuurbare gevaartes gaat lijken ;)
Ben overigens benieuwd hoe het nu gaat dan; SSLv3 met RC4-MD5 zonder Forward Secrecy?
Los daarvan:
Nee ik ben niet free to do what i really want to do want je communiceert alles BMW/HAL
Als ik free ben om to do wat ik really want to do dan log je niet alles mafkees.
BMW/HAL:this conversation can serve no purpose anymore. Goodbye. I will not start your car, succes with the NS....
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Tja, het is gewoon een op (alle) technische fronten continue actief analysesysteem. Dit bestaat al jáááren in de Formule-1 klasse autosport en is vandaar naar de daaropvolgende raceklassen doorgesijpeld. Nu is de 'patser-automobiel' hier ook van voorzien.
Logische ontwikkelingen. Niets meer of minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
