Para peneliti dari tim peneliti Argus menemukan cara untuk meretas ke drivelog Bosch ODB-II dongle dan menyuntikkan segala jenis paket berbahaya ke dalam Bus. Ini memungkinkan mereka untuk, antara lain, hentikan mesin mobil yang bergerak dengan menghubungkan ke dongle dengan cara Bluetooth.
Drainog adalah perangkat pintar Bosch untuk mengumpulkan dan mengelola data operasi kendaraan Anda. Ini memungkinkan pengguna untuk terhubung dengan menggunakan Bluetooth untuk melacak konsumsi bahan bakar dan untuk diinformasikan kapan layanan diperlukan. Itu dikompromikan dalam serangan dua tahap. Kerentanan pertama, kebocoran informasi dalam proses otentikasi, antara dongle dan aplikasi ponsel pintar memungkinkan mereka untuk dengan cepat memaksa pin rahasia offline dan terhubung ke dongle melalui Bluetooth. Setelah terhubung, lubang pengaman dalam filter pesan dongle memungkinkan mereka untuk menyuntikkan pesan berbahaya ke dalam bus kaleng.
Mekanisme pasangan Bluetooth, yang disebut “hanya berfungsi”, telah diperbaiki oleh BOSH dengan mengaktifkan verifikasi dua langkah untuk pengguna tambahan untuk didaftarkan ke perangkat. Masalah kedua, kemampuan untuk aplikasi seluler yang dimodifikasi berbahaya untuk mungkin mengirim pesan yang tidak diinginkan, akan dikurangi dengan pembaruan ke firmware dongle untuk membatasi perintah yang diizinkan yang dapat ditempatkan oleh Dongle.
Bosch mengecilkan masalah sedikit dalam pernyataan mereka:
Sangat penting untuk dicatat bahwa skalabilitas serangan berbahaya potensial dibatasi oleh fakta bahwa serangan semacam itu membutuhkan kedekatan fisik dengan dongle. Ini menunjukkan bahwa perangkat penyerang harus berada dalam kisaran kendaraan Bluetooth.
Masalahnya adalah kedekatan fisik tidak sama dengan rentang Bluetooth. Rentang Bluetooth Standar sekitar 10m, yang sangat terdengar kedekatan fisik, tetapi cukup mudah untuk mendapatkan atau bahkan memodifikasi dongle Bluetooth dengan 10x dan 100x jauh lebih banyak. Saat menambahkan koneksi nirkabel ke Bus CAN dari mobil, pembuat memiliki kewajiban untuk memastikan sistem data tidak dikompromikan. Contoh dear-proximity ini masih secara teknis hack jarak jauh, dan itu adalah contoh dari kerentanan terburuk.