Ένα ελάττωμα ασφαλείας στην υπηρεσία της πλατφόρμας λογισμικού Connected Drive, που είναι εφοδιασμένα 2,2 εκατομμύρια οχήματα της BMW σε όλο τον κόσμο, μπορεί να επιτρέψει σε κάποιον εισβολέα να ξεκλειδώσει τις πόρτες του αυτοκινήτου από ένα smartphone.
Τα αυτοκίνητα που επηρεάζονται είναι εκείνα με το Connected Drive, που έχουν κατασκευαστεί από τον Μάρτιο 2010 έως και τις 8 Δεκεμβρίου 2014. Μεταξύ αυτών είναι τα πρότυπα της BMW (1 έως 7 σειρά, I3, X 1), το Mini (τρίθυρο και πεντάθυρο hatchback), και η Rolls Royce (Phantom Coupe και Drophead Coupe, η Ghost και η Wraith).
Σύμφωνα με τη Γερμανική Αυτοκινητιστική Λέσχη, ADAC, η οποία ανακάλυψε την ευπάθεια, οι πόρτες των αυτοκινήτων μπορεί να ξεκλειδωθούν μέσα σε λίγα λεπτά, χωρίς να υπάρξει κάποιο ίχνος διάρρηξης.
Φαίνεται ότι το πρόβλημα προκαλείται από έλλειψη κρυπτογράφησης δεδομένων μεταξύ του Connected Drive και τους διακομιστές που συνδέεται και διαθέτει η εταιρεία. Η επικοινωνία επιτυγχάνεται μέσω μόντεμ κινητής τηλεφωνίας με μια κάρτα SIM.
Οι ερευνητές παρατήρησαν ότι στην ανταλλαγή δεδομένων από το αυτοκίνητο και τους διακομιστές της BMW δεν υπήρχε κάποια κρυπτογράφηση, και έτσι μπορούσαν να μπουν μέσα στο σύστημα και να το τροποποιήσουν. Αυτό θα μπορούσε να γίνει μέσω ενός πομποδέκτη (BTS), που μπορεί να πάρει πληροφορίες από τις συσκευές GSM.
Η ADAC ανακάλυψε την ευπάθεια τυχαία και ανέφερε τα συμπεράσματά στον κατασκευαστή, περιμένοντας μια ενημέρωση πριν από τη δημοσίευση των πληροφοριών που αναφέρθηκαν. Από τις διευκρινίσεις που παρείχε η ADAC, είναι ασαφές εάν το ελάττωμα ασφαλείας θα μπορούσε επίσης να αξιοποιηθεί ώστε να αποκτήθει πρόσβαση σε λειτουργίες που σχετίζονται με το αυτοκίνητο.
Από τη πλευρά της η BMW αναφέρει ότι το ελάττωμα έχει διορθωθεί από τις 31 Ιανουαρίου και έχει στείλει ήδη την ενημέρωση κώδικα για τα αυτοκίνητα που επηρεάζονται. Η επικοινωνία με τα οχήματα που έλαβαν την ενημερωμένη έκδοση θα πρέπει πλέον να διενεργείται με ασφαλή τρόπο αφού πλέον τα δεδομένα είναι κρυπτογραφημένα.
