My BMW Remote содержит брешь, позволяющую хакерам осуществить атаку «человек посередине».
В конце июля текущего года ИБ-исследователь Сами Камкар (Samy Kamkar) представил устройство OwnStar, которое перехватывает сообщения между мобильным приложением OnStar RemoteLink и облачным сервисом OnStar.
Приложение позволяет дистанционно разблокировать и запускать двигатель автомобиля практически с любого местоположения пользователя. Компания GM, на автомобилях которой Камкар продемонстрировал работу устройства, уже исправила уязвимость в приложении для девайсов на базе iOS. Эксперту также удалось выяснить, что брешь затрагивает приложения mbrace для автомобилей Mercedes, My BMW Remote для BMW и Uconnect для Chrysler.
Камкар сообщил компаниям об уязвимости, однако оказалось, что BMW было известно о бреши еще за несколько месяцев до того, как описание уязвимости стало общедоступным. Согласно заявлению соучредителя фирмы Securify Хана Шахина (Han Sahin), он обнаружил и рассказал BMW о данной уязвимости 22 апреля 2015 года. Представители компании подтвердили отчет специалиста на следующий день, однако брешь в приложении для устройств на базе iOS до сих пор является неисправленной.
Шахин сообщил изданию SecurityWeek, что такой крупной компании, как BMW должно было с лихвой хватить 3 месяцев на исправление уязвимости. В настоящее время приложение My BMW Remote содержит брешь, которая позволяет злоумышленникам осуществить атаку «человек посередине». Представители BMW заявили, что данную кибератаку практически невозможно осуществить в реальной жизни.
Напомним, что Камкар также является автором устройства, которое может разблокировать двигатели Nissan, Cadillac, Ford, Toyota, Lotus, Volkswagen и Chrysler, обойдя системы сигнализации Cobra и Viper и системы дистанционного открытия гаражных дверей Genie и Liftmaster.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий