image

BMW patcht beveiligingslek in miljoenen auto's

maandag 2 februari 2015, 13:11 door Redactie, 8 reacties

BMW heeft een patch uitgerold voor een beveiligingslek waardoor criminelen de deuren van verschillende modellen via een mobiele telefoon konden openen. De kwetsbaarheid bevond zich in ConnectedDrive, een slim systeem dat in 2,2 miljoen auto's aanwezig is, waaronder die van Mini en Rolls Royce. Via het systeem en een permanent geïnstalleerde simkaart kan ConnectedDrive gegevens met de autofabrikant uitwisselen.

Onderzoekers van de Allgemeine Deutsche Automobil-Club (ADAC) hadden het probleem met het systeem ontdekt (pdf). Naast het openen van deuren zou een aanvaller ook de locatie van het voertuig kunnen achterhalen en e-mails kunnen onderscheppen. Details wil ADAC pas geven als het probleem is opgelost, om zo criminelen niet te helpen.

BMW stelt in een verklaring dat het lek zich in de communicatie via het mobiele telefoonnetwerk bevond. Daarbij zouden aanvallers niet de besturing van het voertuig hebben kunnen overnemen. Om het probleem te verhelpen is er een update uitgerold die automatisch wordt geïnstalleerd als een voertuig verbinding met de BMW Group server maakt of de bestuurder de serviceconfiguratie handmatig opvraagt. Bestuurders zouden in ieder geval niet met hun auto naar de garage hoeven.

Volgens de Duitse autofabrikant wordt voor de communicatie nu HTTPS gebruikt, wat eerder al voor BMW Internet en andere functies werd toegepast. Alle uitgewisselde gegevens zouden via HTTPS worden versleuteld. Daarnaast zou de auto voortaan eerst de identiteit van BMW Group Server controleren voordat er gegevens via het mobiele telefoonnetwerk worden uitgewisseld.

Reacties (8)
02-02-2015, 15:14 door Anoniem
Als ik dit dan lees... Vraag ik me toch weer af... Waarom zou mijn auto in vredesnaam contact met de maker moeten hebben??
02-02-2015, 16:50 door VriendP
Dit systeem is voor mij persoonlijk een heel goede reden om geen BMW te kopen.
02-02-2015, 16:59 door Preddie
Door Anoniem: Als ik dit dan lees... Vraag ik me toch weer af... Waarom zou mijn auto in vredesnaam contact met de maker moeten hebben??

Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.

Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....

Feitelijke is het een rijdende spionage toolbox.

Als dergelijke kwetsbaarheden het al mogelijk maken de deuren te openen, ben ik benieuwd wat we straks gaan zien in zelf rijdende auto's. Bijv. als ze worden overgenomen en ineens niet meer zelfrijdend worden maar meer op afstand bestuurbare gevaartes gaat lijken ;)
02-02-2015, 17:03 door Anoniem
Geef mij maar een ouderwetse T-Ford
02-02-2015, 18:21 door Anoniem
Tsja , als ik nu consequent en eerlijk ben dan moet ik nu toch mijn favoriete merk en speeltje af gaan zeiken .
02-02-2015, 20:37 door Erwtensoep
Dit noem ik niet een beveiligingslek patchen. Dan moet er een lek in de beveiliging zijn, maar de beveiliging was er helemaal niet omdat blijkbaar niemand bij BMW op het idee kwam om op z'n minst HTTPS te gebruiken.
Ben overigens benieuwd hoe het nu gaat dan; SSLv3 met RC4-MD5 zonder Forward Secrecy?
02-02-2015, 22:07 door Anoniem
Zo slim was/is het systeem dus niet...
Los daarvan:
www.bmw.com toestaan om "Adobe Flash" uit te voeren
Nog niets geleerd qua security.

ConnectedDrive:Free to do what you really want to

Nee ik ben niet free to do what i really want to do want je communiceert alles BMW/HAL
Als ik free ben om to do wat ik really want to do dan log je niet alles mafkees.

BMW/HAL:this conversation can serve no purpose anymore. Goodbye. I will not start your car, succes with the NS....
02-02-2015, 23:16 door Anoniem
Door Predjuh:
Door Anoniem: Als ik dit dan lees... Vraag ik me toch weer af... Waarom zou mijn auto in vredesnaam contact met de maker moeten hebben??

Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.

Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....

Tja, het is gewoon een op (alle) technische fronten continue actief analysesysteem. Dit bestaat al jáááren in de Formule-1 klasse autosport en is vandaar naar de daaropvolgende raceklassen doorgesijpeld. Nu is de 'patser-automobiel' hier ook van voorzien.
Logische ontwikkelingen. Niets meer of minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.