Обновена на 05.08.2016 от Questo
Услугата Connected Drive, която свързва автомобилите BMW с интернет, продължава да има проблеми със сигурността. През юли се появиха поне две предупреждения за това, че уеб порталът, от който се влиза в Connected Drive, не е защитен от някои основни видове атаки.
Едното идва от блога на компанията за кибер сигурност Seekurity. От там предупреждават, че сайтът на Connected Drive няма защита срещу Clickjacking и Cross-Site Request Forgery. Clickjacking е техника, която позволява зареждането на браузърен прозорец, който е невидим зажертвата. В зависимост от настройките на атаката, този невидим прозорец може да се използва за кражба на пароли или пък за подслушване чрез микрофона на устройството на жертвата. Cross-Site Request Forgery е техника, при която може да се получи неоторизиран достъп до профила на потребителя в дадена онлайн услуга.
Повечето онлайн услуги имат вградени защити срещу подобни атаки. Connected Drive, която позволява на автомобилите BMW да се свързват с интернет и дава известен контрол на шофьора върху колата чрез мобилен телефон, изглежда не е една от тях. Като доказателство за твърденията си от Seekurity публикуват и видео, в което показват как би могла да протече атака, чрез която авторът получава достъп до профила на потребителя.
В началото на юли Vulnerability Labs съобщи, че е открила други два проблема с Connected Drive. Тогава от BMW отговориха, че опасностите не са сериозни.
Миналата година компанията трябваше спешно да отстрани проблем със сигурността на Connected Drive, който позволяваше на хакерите да отключват автомобили чрез фалшива GSM антена.
|
|
