Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 531

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 534

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 537

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 540

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 544

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 548

Deprecated: Function eregi_replace() is deprecated in /var/www/sites/asen/COMMON/procedures/class.FunctionsCommon.php on line 552

Deprecated: Function split() is deprecated in /var/www/sites/asen/pcw/procedures/class.Add.php on line 367

Видео на деня: Как се краде автомобил Tesla с помощта на смартфон

… плюс описание на начина на използване на откритата уязвимост в Android-приложението на автомобилите Tesla, която може да даде дистанционен достъп до колата не само на нейния собственик, но и на хакерите.

28 ноември 2016
5389 прочитания
0 коментара
6 одобрения
1 неодобрение

За електромобилите с марка Tesla вече се знае достатъчно много, за да ги очакваме с нетърпение. Най-малкото, кой не би искал да извиква колата си по телефона? Оказва се обаче, че именно Android-приложението на автомобилите Tesla може да се окаже тяхното слабо място. Поне такова са успели да открият изследователите от компанията Promon, според които уязвимост във въпросното приложение може да даде пълен контрол над колата и за злосторници, които биха могли да го откраднат дистанционно, просто като го извикат на определено място, точно както би направил неговият собственик.

Атаката срещу електронните системи на автомобилите е любима тема на немалко хакери в днешно време.

Атаката срещу електронните системи на автомобилите е любима тема на немалко хакери в днешно време.

Прочетете още: Как да издирим и обезопасим изгубен Android смартфон?

Специалистите от Promon са били така добри да оставят и подробно описание на начина за експлоатиране на откритата уязвимост, което ще резюмираме накратко в следващите редове. И така, работата с приложението на Tesla започва с изпращане на HTTP-заявки към сървърите на компанията. Всички заявки трябва да предоставят Oauth-токен, който потребителите получават, след като преминат през процеса на идентификация посредством логин и парола. След първия успешен вход в приложението Tesla-токенът се съхранява в открит вид в обикновен файл. При презареждане на приложението, токенът ссе прочита отново и се използва за изпращането на нови заявки. Но, което е най-удивителното, според експерименталните тестове на специалистите от Promon, този токен остава валиден в продължение най-малко на 90 дни. Това означава, че кражбата на токена, дава на злосторника пълен достъп до електромобила в продължение на месец и половина.

Но как се осъществява самата кражба на въпросния токен? Според Promon работата е съвсем лесна – достатъчно е само малко да се модифицира приложението на Tesla, така че хакерите да получат достъп до всички въведени идентификационни данни, които могат да им се изпращат и директно на електронната поща. Замяната на оригиналното приложение  пък е възможна посредством т.нар. атака с повишени привилегии (подобна на начина на действие на зловредните програми Godless и HummingBad), даваща root-права на атакуващия. След като получи такива права, злосторникът има обширно поле за действие, така че може би най-трудният момент в цялата операция може би е да се убеди собственика на колата да си инсталира зловредното приложение. Но по мнението на Promon, това може също да стане сравнително лесно с помощта на известните и доказано ефективни методи. Например чрез фишинг атака посредством подставена Wi-Fi точка за достъп. Именно такъв метод е изплзван в демо-кражбата, представена във видеото по-долу.

Специалистите от Promon съветват Tesla да се придържа към някои прости правила, които намаляват до минимум рисковете за безопасността на мобилните приложения. едно такова е например възможността на приложението само да определя опитите за модификация. Второ, токенът не трябва да се съхранява в открит вид. Безопасността също така може да бъде повишена чрез използване на двустепенна идентификация. Приложението също така може да задейства и собствена клавиатура, която опазва потребителите от кийлогър вируси. Със сигурност от полза би била и защитата на приложението от обратен инженеринг.

Но потребителите на Tesla съвсем не са единствените, които са изложени на подобни рискове. Според данните на компанията TrendMicro, около 90 % от потребителите на Android-устройства са заплашени от най-малко една критична уязвимост. Това се обяснява с факта, че производителите на смартфони обикновено не бързат особено с обновяването на софтуера на своите устройства. Освен това, според експертите, повечето мобилни потребители са слабо осведомени относно възможните заплахи. А 89% от потребителите на мобилни устройства дори не биха могли да разберат кога тяхната джаджа е заразена с малуер …

6 одобрения
1 неодобрение
Още от рубрика "Любопитно"
КОМЕНТАРИ ОТ  
КОМЕНТАРИ

Fatal error: Cannot redeclare class Admin in /var/www/sites/asen/COMMON/login/class.Admin.php on line 5