中金在线 > 汽车 > 曝光台

|曝光台

腾讯科恩安全实验室发现多款宝马车型存在诸多安全漏洞

盖世汽车 李文龙

|
  盖世汽车讯 据外媒报道,腾讯旗下科恩安全实验室(Keen Security Lab)发现宝马车辆的车载计算机系统存在大量的漏洞。
  在2017年1月-2018年2月期间,腾讯科恩安全实验室的研发人员对各款宝马车型进行了测试,并将研究重心放在其头部单元(head unit)及T-Box车联网组件。经过长达13个月的研究后,该团队发现了14个漏洞,该漏洞或致使互联车辆处于安全风险中。
  该测试获得了宝马的支持并提供试验条件,目前受影响的车辆包括宝马的i系车型、X1 sDrive、5系车型及7系车型。
  据科恩安全实验室发布的报告显示,其中9个漏洞需要对目标车辆进行实际的物理访问(接触或进入车辆),另外5个漏洞只需将手机联网就能攻破。
  上述漏洞使得网络攻击者可访问车辆的头部单元(车载信息娱乐系统)与T-box组件,涉及:车辆的车载资通讯控制单元及中央网关控制模块(Central Gateway Module),从而创建并部署漏洞利用链(exploit chains),进而控制CAN总线。
  CAN总线存在可供攻击的漏洞,这件事很严重,因为上述总线与车辆的各个功能模块相连通。当CAN总线被攻击者控制时,研究人员可利用远程手段触发任意的车载诊断功能。
  科恩安全实验室在无意间发现了内存崩溃漏洞(memory corruption vulnerabilities)、逻辑错误、故障(bugs),或突破安全隔离区域(secure isolation system areas),部分漏洞还将导致远程代码执行。
  该团队还能利用USB、以太网及车载诊断系统连接(OBD-II connections)影响车辆的操作性能。此外,若采用USB记忆棒,还能制作伪造的升级文件,影响车辆的升级服务并获得hu-Intel的根域控制权限(root control),而hu-Intel系统可控制多媒体服务及宝马ConnectedDrive功能。
  当科恩安全实验室的研究发现得到验证后,将制定相关的补救措施,为最重要的几处漏洞问题打软件补丁。这类升级文件通过空中下载软件升级技术推送到后台系统及车载资通讯单元中。此外,经销商处也将获得所需的软件升级文件。
加载全文

全部评论 登录 可发布评论哦!
加载更多
基金交易申购率1折 基金开户10秒快速开户

嘉贝(现金宝) 7日年化收益率 购买


精彩博文
×