近日,研究人员发现了影响宝马i系列、宝马X系列、宝马3系、宝马5系、宝马7系等高端车型的14个安全漏洞,宝马公司目前正在为部分车型进行固件升级。

根据研究人员的说法,他们在2017年1月至2018年2月期间针对宝马汽车进行了为期一年的实验,这14个安全漏洞便是在此次实验中发现的。
宝马多款车型被曝出14个安全漏洞

早在2012年,漏洞就已经开始影响到宝马汽车
这些安全漏洞会影响到自2012年以来生产的宝马汽车,这个定论基于脆弱组件的开始投入使用日期,也就是说其中一些组件在2012年就已经开始被配置在汽车上。黑客入侵的切入点是汽车的信息娱乐系统和远程信息系统,他们能够结合这14个漏洞获得对汽车内部CAN总线的访问权限——这是连接其他所有汽车组件和功能的组件。

研究人员指出,他们在提供本地访问(通过U盘)以及远程攻击(使用软件定义的无线电)的场景中,都实现了对宝马汽车的成功侵入。

想要对宝马汽车实施远程攻击,攻击者需要破解当地的GSM移动网络。研究人员和宝马公司都认为,黑客攻击对于大多数攻击者而言是复杂且难以实现的,尽管这并不是绝对不可能重现的。“我们的研究结果证明,在超过某些宝马汽车组件的特定传输速率的情况下,获取信息娱乐、T-Box组件和UDS通信的本地和远程访问是可行的,并能够在未经授权的情况下执行任意远程诊断宝马汽车车内系统的请求,以获得对CAN总线的控制权限。”研究人员说。

在2019年以前,不会有深入的技术细节和PoC
修复这14个安全漏洞需要对组件设置进行更改以及安装固件补丁。宝马公司表示已经通过连线发布了“配置更新”,并且正在致力于为所有受影响的汽车提供固件补丁。

固件补丁需要离线安装,这意味着宝马公司将在下一次车主将他们汽车开到授权服务中心时提供更新