חברת BMW הפיצה עבור לקוחותיה טלאי אבטחה המיועד לטיפול בפרצת תוכנה קריטית העלולה לאפשר לפורצים (תרתי משמע!) לפתוח את נעילת דלתות הרכבים מסוג...
רולס-רויס, מיני ו-BMW מדגמים של החברה אשר נשלטים ע"י תוכנת ConnectDrive של החברה, ואשר מתבססים על כרטיס SIM אשר מיועד לזיהוי בעלי הרכב.
ארגון מוטורי גרמני אשר מבקר את תשיית הרכב באופן שוטף הוא שגילה את פרצת האבטחה כבר בשנה שעברה, אולם המתין עם גילוי המידע לציבור הרחב עד לסגירת הפרצה ע"י BMW לפני כשבועיים.
תוכנת ConnectDrive מתעדכנת באופן אוטומטי מול BMW, ובנוסף היא מתממשקת אל אפליקציית סמארטפון תואמת אשר נמצאת בשימוש הנהגים, ואשר דרכה ניתן לפתוח את דלתות הרכב, להפעיל את הצופר ולקבל סיוע בעת תקלות.
מטרתה העיקרית של התוכנה הינה להעביר ל-BMW נתונים אודות מצב מערכות הרכב, בכדי להמליץ לנהגים על טיפולים ותיקונים נדרשים.
הארגון המוטורי הגרמני - ADAC - הצליח לנצל את הפרצה ולפרוץ לרכבים באמצעות יצירת רשת חליפית אשר אליה ניסתה התוכנה להעביר נתונים. בעת ניסיונות התקשורת הללו - הצליחו החוקרים להשתלט על אופציות ההפעלה מכרטיס ה-SIM וכך לפרוץ פיזית אל הרכבים.
מעבר לכך, התאפשר לחוקרים לבצע מעקב שוטף ב-Real-Time על מיקומו של הרכב אשר נפרץ וכן לקבל את הודעות האי-מייל שנשלחו מן החברה אל הלקוח.
טלאי האבטחה לסגירת הפרצה אמור היה להתעדכן באופן אוטומטי דרך אפליקציית הסמארטפון של הנהגים עד לסוף חודש ינואר.
בנוסף לטלאי האבטחה שהופץ, הוסיפה BMW כי מעתה תבוצע כל תעבורת התקשורת אל ומהתוכנה בפרוטוקול מוצפן (HTTPS) - וזאת בכדי להקשות על ציתות עויין לתעבורה.
במילים אחרות: עד עתה פרוטוקול התעבורה היה גלוי לחלוטין!
לידיעה המלאה - כאן