BMW heeft een patch uitgerold voor een beveiligingslek waardoor criminelen de deuren van verschillende modellen via een mobiele telefoon konden openen. De kwetsbaarheid bevond zich in ConnectedDrive, een slim systeem dat in 2,2 miljoen auto's aanwezig is, waaronder die van Mini en Rolls Royce. Via het systeem en een permanent geïnstalleerde simkaart kan ConnectedDrive gegevens met de autofabrikant uitwisselen.
Onderzoekers van de Allgemeine Deutsche Automobil-Club (ADAC) hadden het probleem met het systeem ontdekt (pdf). Naast het openen van deuren zou een aanvaller ook de locatie van het voertuig kunnen achterhalen en e-mails kunnen onderscheppen. Details wil ADAC pas geven als het probleem is opgelost, om zo criminelen niet te helpen.
BMW stelt in een verklaring dat het lek zich in de communicatie via het mobiele telefoonnetwerk bevond. Daarbij zouden aanvallers niet de besturing van het voertuig hebben kunnen overnemen. Om het probleem te verhelpen is er een update uitgerold die automatisch wordt geïnstalleerd als een voertuig verbinding met de BMW Group server maakt of de bestuurder de serviceconfiguratie handmatig opvraagt. Bestuurders zouden in ieder geval niet met hun auto naar de garage hoeven.
Volgens de Duitse autofabrikant wordt voor de communicatie nu HTTPS gebruikt, wat eerder al voor BMW Internet en andere functies werd toegepast. Alle uitgewisselde gegevens zouden via HTTPS worden versleuteld. Daarnaast zou de auto voortaan eerst de identiteit van BMW Group Server controleren voordat er gegevens via het mobiele telefoonnetwerk worden uitgewisseld.
Deze posting is gelocked. Reageren is niet meer mogelijk.