Napadači mogu udaljeno mijenjati podešavanja na BMW-ima
Istraživači su otkrili više zero-day ranjivosti u BMW-ovom ConnectedDrive-u.
ConnectedDrive je BMW-ov softver za automobile koji korisniku, tokom vožnje, omogućava pristup informacijama o saobraćaju, email-u, podešavanjima kućnih IoT uređaja i podešavanjima automobila. ConnectedDrive korisiti pristup internetu preko ugrađene SIM kartice kako bi pristupio cloud servisima.
Prva ranjivost se odnosi na cross site scripting (XSS) ranjivost veb interfejsa za ConnectedDrive i omogućava napadačima krađu korisničkih podataka.
Druga ranjivost se odnosi na validaciju VIN-a (Identifikacioni broj vozila) koja omogućava napadačima da promijene podešavanja automobila. Pogođena podešavanja se odnose na informacioni modul automobila, ali mogu se iskoristi i u svrhe otključavanja ili zaključavanja automobila.
Istraživači su, o propustima, obavjestili BMW u februaru ove godine, ali još uvijek nije objavljeno ažuriranje.
Izvor:helpnetsecurity.com