В операционной системе BlackBerry QNX нашли опасную уязвимость — под угрозой оказались автомобили и медоборудование

[душман]

В операционной системе BlackBerry QNX обнаружилась уязвимость, позволяющая злоумышленникам получать контроль над различным оборудованием, включая бортовые системы автомобилей и медицинские приборы. Уязвимость, получившая название BadAlloc, коснулась старых версий QNX. Воспользовавшись ей, злоумышленники могут предпринимать различные действия, например, осуществлять DDoS-атаки или выполнять произвольный код. 

В настоящий момент компания BlackBerry, Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA), а также Агентство кибербезопасности и защиты инфраструктуры (CISA) при Агентстве национальной безопасности США опубликовали рекомендации, как обезопаситься от этой уязвимости. Однако, как стало известно, BlackBerry была уведомлена о данном факте несколько месяцев назад и не хотела сообщать об этом публично.

Изначально компания заявила CISA, что она не верит в наличие уязвимости BadAlloc у системы QNX. Проблема BadAlloc была обнаружена специалистами Microsoft в апреле, в отчёте говорилось о том, что она затрагивает широкий спектр промышленных, медицинских и корпоративных сетей. 

Позже её наличие подтвердили многие компании-разработчики, однако BlackBerry в их числе не оказалось. В итоге наличие уязвимости у старых версий QNX подтвердило CISA, и только данный факт вынудил BlackBerry заявить о проблеме открыто. Проблема усугубилась тем, что данная ОС не поставляется конечным пользователям, а лицензируется производителям оборудования. Именно с ними BlackBerry хотела на начальном этапе провести необходимые консультации, и в этом случае конечные потребители ничего не узнали бы о проблеме. 

В конечном итоге, когда разработчик признал наличие уязвимости и сделал официальное заявление, он, в частности, отметил, что ему ничего не известно о фактах её использования в QNX-оборудовании. Однако для предотвращения такой возможности производителям порекомендовали выпустить обновления прошивок с новой версией системы, не подверженной проблеме BadAlloc.