Видео дня: хакеры угнали автомобиль Tesla с помощью смартфона

27.11.2016 г. в 13:35, grifonsoft

Исследователи из компании Promon нашли слабые места в Android-приложении Tesla, которые позволяют получить полный контроль над автомобилем. Как утверждают хакеры, с помощью этой «дыры» злоумышленники могут удалённо угнать автомобиль и направить его в нужное место назначения.

Атака на электронику электромобилей — любимая тема современных хакеров

Согласно данным TrendMicro, около 90 % пользователей Android-устройств находятся под угрозой как минимум одной критической уязвимости. Это объясняется тем, что производители смартфонов не очень спешат обновлять прошивки своих устройств. Кроме того, эксперты уверены, что большинство мобильных пользователей мало осведомлены о возможных угрозах. 89 % пользователей даже не смогли бы понять, что их устройство инфицировано.

Работа с приложением начинается с отправки HTTP-запроса к серверу Tesla. Все запросы должны предоставить Oauth-токен. Этот токен пользователь получает, пройдя аутентификацию с помощью логина и пароля. После первого успешного входа в приложение Tesla токен сохраняется в открытом виде в файле. Когда приложение перезагружается, токен считывается и используется для отправки новых запросов. Согласно экспериментальным тестам специалистов Promon, этот токен является валидным на протяжении 90 дней. Кража токена означает получение полного контроля над автомобилем (всё, что позволяет приложение).

Но как же хакерам удалось реализовать атаку? Как отмечается, для успешной атаки достаточно немного модифицировать код приложения Tesla, благодаря чему хакер получит возможность получать все введённые аутентификационные данные на свою электронную почту. Замена оригинального приложения возможна с помощью так называемой атаки с повышением привилегий (наподобие зловредных программ Godless и HummingBad). Как только атакующий получает root-права, у него открывается широкое поле деятельности. Правда, ещё придётся заставить пользователя установить зловредное приложение. Но, по утверждению команды Promon, это также возможно с помощью известных методов.

Например, можно реализовать фишинг-атаку с подставной точкой доступа Wi-Fi. В демонстрационной атаке хакеры организовали такую фейковую беспроводную станцию. Она перенаправляла пользователя на портал с рекламой приложения, которое якобы предлагает всем владельцам автомобилей Tesla бесплатный ужин в ближайшем ресторане. Дальше — дело техники. Конечно же, далеко не все клюнут на такую удочку, но шанс у преступников высокий.

Специалисты Promon советуют Tesla придерживаться некоторых правил, которые позволят свести риски безопасности к минимуму. Например, приложение должно уметь самостоятельно определять попытки модификации. Токен не должен храниться в открытом виде. Безопасность может быть повышена при использовании двухфакторной аутентификации. Также приложение может включать собственную клавиатуру, что убережёт пользователей от вирусов-кейлоггеров. Не лишним будет защитить приложение и от обратной инженерии.

загрузка...
Еще одна новость

Миколаївські водії опинилися у полоні дорожніх робіт

27.11.2016 г. в 13:35, ДжеДАІ

Миколаївські водії опинилися у полоні дорожніх робіт. Ремонтники розрили траншею, аби прокласти кабель, а все розрите залишили. Керманичі вже понад тиждень не можуть виїхати зі своїх гаражів, бо навколо руїни.

Прочитать новость
И еще это можно почитать

В Іркутську негода зруйнувала міст

27.11.2016 г. в 13:35, ДжеДАІ

У Росії, як завжди, дві біди - дурні й дороги. Негода в Іркутську зруйнувала архітектурну пам’ятку - міст. По ньому не те що їздити, ходити страшно. На щастя, місцева влада таки визнала проблему і розробила генеральний план з порятунку мосту.

Прочитать новость
загрузка...
И кое-что еще!

Асфальт прямо в лужу: в сети показали, как на Прикарпатье делают дороги

27.11.2016 г. в 13:35, obozrevatel

На Прикарпатье в городе Долина активисты зафиксировали, как дорожники кладут асфальт. Видео опубликовали на канале в YouTube "Авто Майдан". "25.11.2016 года в городе Долина Ивано-Франковской области подрядная организация из Калушского района проводила текущий ремонт дороги по улице Черновола за счет Долинского городского совета", - объяснили авторы видео. На записи видно, как работники бросают асфальт прямо в лужу.

Прочитать новость

© 2013 AvtoVod
info@avtovod.org.ua

Закрыть
Нажмите «Нравится» и читайте автомобильные новости в Facebook!
Спасибо, я не хочу больше это видеть