Компания BMW наградила хакеров, выявивших 14 уязвимостей ПО ее моделей
Команда «белых» хакеров («White Hat») обнаружила 14 уязвимостей в программном и аппаратном обеспечении в ряде моделей BMW. Немецкий автопроизводитель заявил, что это «самое всестороннее и сложное тестирование, когда-либо проводившееся» сторонней компанией.
Хакеры обнаружили ряд уязвимостей в BMW i3 и X1, а также 5 Series и 7 Series предыдущего поколения. Восемь недостатков связанны с информационно-развлекательными системами, четыре - с телематикой, а два касались шлюзов бортовой диагностики транспортных средств.
В китайской кибер-охранной фирме «Tencent Keen Security Lab», которая обнаружила недостатки, сказали, что «эти атаки могут быть использованы квалифицированными злоумышленниками», добавив, что они позволят хакерам «запускать или контролировать функции автомобиля удаленно".
В то время как для девяти атак требовалось физическое соединение между автомобилями и хакерским оборудованием, пять могут быть проведены дистанционно, используя слабые стороны в соединениях Bluetooth, GSM и развлекательных услугах BMW ConnectedDrive.
После года работы, раскрывшей недостатки, «Tencent Keen Security Lab» предупредила об уязвимостях BMW. Автопроизводитель подтвердил результаты «Tencent» в течение двух недель и впоследствии объявил, что обратил внимание на уязвимости с «обновлениями [которые] были развернуты в бэкенде BMW Group и загружены в блоки управления телематикой через воздушное соединение».
BMW была настолько впечатлена открытиями «Tencent», назвав их усилия «выдающейся исследовательской работой», что присудила компании первую в истории награду «Digital Group Digitalization» и «IT Research Award». Обе фирмы сейчас «обсуждают варианты совместных углубленных исследований и разработок».
Решение BMW наградить и спланировать будущее сотрудничество с «Tencent Keen» повторяет аналогичные программы, используемые компаниями Силиконовой Долины. Facebook выплатил 6,3 миллиона долларов США белым хакерам за то, что они с 2011 года указывают на уязвимости, а Google с 2010 года потратил на это 12 миллионов.
С подключением автомобилей к интернету, становящимся все более стандартным, и огромными инвестициями в автономные автомобили, производители могут обратиться к белым хакерам, чтобы в будущем чаще выявлять недостатки безопасности. Эта практика может действовать как защитная сетка для уязвимого программного обеспечения, позволяя устранять недостатки перед эксплуатацией.