BMW patcht beveiligingslek in miljoenen auto's
BMW heeft een patch uitgerold voor een beveiligingslek waardoor criminelen de deuren van verschillende modellen via een mobiele telefoon konden openen. De kwetsbaarheid bevond zich in ConnectedDrive, een slim systeem dat in 2,2 miljoen auto's aanwezig is, waaronder die van Mini en Rolls Royce. Via het systeem en een permanent geïnstalleerde simkaart kan ConnectedDrive gegevens met de autofabrikant uitwisselen.
Onderzoekers van de Allgemeine Deutsche Automobil-Club (ADAC) hadden het probleem met het systeem ontdekt (pdf). Naast het openen van deuren zou een aanvaller ook de locatie van het voertuig kunnen achterhalen en e-mails kunnen onderscheppen. Details wil ADAC pas geven als het probleem is opgelost, om zo criminelen niet te helpen.
BMW stelt in een verklaring dat het lek zich in de communicatie via het mobiele telefoonnetwerk bevond. Daarbij zouden aanvallers niet de besturing van het voertuig hebben kunnen overnemen. Om het probleem te verhelpen is er een update uitgerold die automatisch wordt geïnstalleerd als een voertuig verbinding met de BMW Group server maakt of de bestuurder de serviceconfiguratie handmatig opvraagt. Bestuurders zouden in ieder geval niet met hun auto naar de garage hoeven.
Volgens de Duitse autofabrikant wordt voor de communicatie nu HTTPS gebruikt, wat eerder al voor BMW Internet en andere functies werd toegepast. Alle uitgewisselde gegevens zouden via HTTPS worden versleuteld. Daarnaast zou de auto voortaan eerst de identiteit van BMW Group Server controleren voordat er gegevens via het mobiele telefoonnetwerk worden uitgewisseld.
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Feitelijke is het een rijdende spionage toolbox.
Als dergelijke kwetsbaarheden het al mogelijk maken de deuren te openen, ben ik benieuwd wat we straks gaan zien in zelf rijdende auto's. Bijv. als ze worden overgenomen en ineens niet meer zelfrijdend worden maar meer op afstand bestuurbare gevaartes gaat lijken ;)
Ben overigens benieuwd hoe het nu gaat dan; SSLv3 met RC4-MD5 zonder Forward Secrecy?
Los daarvan:
Nee ik ben niet free to do what i really want to do want je communiceert alles BMW/HAL
Als ik free ben om to do wat ik really want to do dan log je niet alles mafkees.
BMW/HAL:this conversation can serve no purpose anymore. Goodbye. I will not start your car, succes with the NS....
Zodat hij de hele dag tegen BMW kan vertellen wat jij aan het doen bent, waar je bent, hoe hard je rijd, hoeveel bagage je mee voert, hoe hard je remt, hoe veel je remt, de muziek die je luistert enz. enz.
Waarschijnlijk zit er ook een systeem in dat feitelijk elke activiteit logt....
Tja, het is gewoon een op (alle) technische fronten continue actief analysesysteem. Dit bestaat al jáááren in de Formule-1 klasse autosport en is vandaar naar de daaropvolgende raceklassen doorgesijpeld. Nu is de 'patser-automobiel' hier ook van voorzien.
Logische ontwikkelingen. Niets meer of minder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.