Перейти к содержанию

«Подключенные» автомобили ? удобные и уязвимые

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Если вы слышали о футуристических концепциях «умного дома» или «Интернета вещей», я, может, удивлю вас, сказав, что наиболее полное воплощение этих идей на сегодняшний день имеется в автомобильной индустрии.  Современный автомобиль по сути содержит десятки компьютеров, управляющих тормозами, передачей, освещением и климатом, ну и всем прочим тоже. И конечно, автопроизводители следуют новой тенденции, включая в дорогие версии новых автомобилей различные онлайн-возможности, делая машины «подключенными» к Сети.  Это удобно. Можно дистанционно со смартфона включить в машине кондиционер, чтобы не сидеть десять минут в жаре или холоде, можно посмотреть в «Карты Google» или «Яндекс.Карты» прямо с приборной панели, слушать музыку по радио TuneIn через бортовую аудиосистему или даже запустить аварийную систему, которая сама вызовет на помощь при аварии и сообщит спасателям GPS-координаты.

cars.min

Проникновение подобных сервисов в серийные автомобили уже высоко, говорится в недавнем  исследовании (оригинал на испанском), проведенном испанским подразделением международной компании Interactive Advertising Bureau (IAB).  Анализ «подключенных» возможностей в свежих автомобилях пятнадцати лидирующих автобрендов, в том числе  Audi, BMW, Ford, Lexus, Opel, Renault, Volvoи др., показывает что новую функцию развивают все, но двумя разными способами. Одна группа производителей делает акцент на решениях «внутри машины», неотделимых от нее, тогда как вторая уделяет основное внимание интеграции автомобиля со смартфоном и его сервисами.  Лидирует в развитии этого сегмента компания BMW, которая разработала 20 приложений для смартфона и 14 ?для самого автомобиля. Этот комплект решает все мыслимые задачи от прослушивания музыки в Spotify до дистанционной диагностики авто. Неудивительно, что IAB попросила экспертов «Лаборатории Касперского» оценить риски безопасности при пользовании «подключенным» автомобилем именно основываясь на воплощении от BMW.

Разумеется, наиболее тревожные сценарии атаки на авто включают взлом руля и тормозов, что было ранее продемонстрировано для других автобрендов, но в этом исследовании эксперты сфокусировались на возможных атаках «стандартной» функциональности «подключенного» автомобиля. Наиболее интригующая возможность, конечно, это отпирание автомобиля без ключа, при помощи смартфона и специального приложения My BMW Remote. К чести BMW, разработчики проделали неплохую работу, использовав в этом сервисе двухфакторную аутентификацию, которая требуется для установки «ключа» на смартфон.  Тем не менее, любой эксперт, имевший дело с банковскими троянцами, легко опишет целый ряд трюков, которые используются преступниками чтобы обойти этот тип защиты.  Комбинация фишинга, кейлоггинга, атаки «человек посередине» с социальной инженерией позволяет обойти даже сложную защиту. В практическом тесте, исследователь смог перехватить учетные данные «условной жертвы» и установить дубликат ключа на собственный смартфон, получив право отпереть машину без законного владельца.

Если вашу машину можно открыть смартфоном, ее можно и угнать при помощи техник банковских троянцев 

Tweet

«Появление подключенных к Сети автомобилей может привести к распространению тех угроз, которые ранее были актуальны лишь для компьютерного мира. Риски, с которыми могут столкнуться владельцы подобных машин, варьируются от кражи паролей и геолокационных данных до получения доступа к сервисам дистанционного управления автомобилем и несанкционированного открытия дверей. В связи с этим в автомобильном мире конфиденциальность станет критически важна, а автовладельцам придется научиться замечать новые риски, которых не существовало в прошлом», – отметил Висенте Диаз, ведущий антивирусный эксперт «Лаборатории Касперского».



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rezored
      Закрытие уязвимостей в изолированной сети
      Автор Rezored
      Здравствуйте. Сделал по инструкции изолированный сервер https://support.kaspersky.com/KSC/14.2/ru-ru/230777.htm , но список уязвимостей формирует .bin файлы 0 длины, подскажите как можно это исправить или где посмотреть логи ошибок?
    • PitBuLL
      Подключение посторонних устройств по Wi-Fi
      Автор PitBuLL
      Wi-Fi TP-Link Archer C5-AC1200.
      С момента его покупки, почти два года назад, у провайдера, установки и настройки техником провайдера - периодически вижу в настройках роутера посторонние подключения устройств по Wi-Fi. 
      Сразу, после покупки, установке и настройке роутера техником - на следующий день обнаружил 4 чужих подключенных устройства. Поменял тогда пароль от роутера (15 символов), поменял пароль от Wi-Fi (30+ символов).
      Через некоторое время опять стали подключаться чужие устройсва.
      Вызывал техника. Со слов техника он обновил прошивку , вернее установил предыдущую версию. Пароли опять были сменены. Через некоторое время опять стали подключаться чужие устройсва.
      И вот опять посторонние подключения. Я уже настройки роутера сбросил к заводским (Reset) и поменял пароли от роутера (15 символов) а  на Wi-Fi (30+ символов).
      Как подключаются посторонние? Взламывают 15-ти значный пароль от роутера или 30+ значный пароль от Wi-Fi? 
      Доступ к ПК с которого вхожу в настройки роутера только у меня.
      30+ значный пароль от Wi-Fi даже домашние не знают. Ввел пароль на их мобильных устройствах один раз, теперь подключаются автоматически (их устройства пароль запомнили, как в принципе и должно быть).
      И тем более ни кто из семьи не сливал пароль от  Wi-Fi соседям, посторонним людям. Ни когда гости не подключались к моей сети Wi-Fi.
       
    • KL FC Bot
      Защищаем автомобиль от взлома через Bluetooth-уязвимость PerfektBlue | Блог Касперского
      Автор KL FC Bot
      Компьютеризация автомобиля давно дошла до такого уровня, что кибератаки на него весьма действенны — возможны угон, несанкционированное включение дополнительного оборудования, дистанционные торможение и руление, шпионаж. Но чтобы провести эти атаки, зачастую нужен кратковременный физический доступ к автомобилю или взлом его телематических систем, то есть связи с сервером производителя по сотовой сети. В недавно опубликованном исследовании PCA Cyber Security описан новый способ — для взлома достаточно подключиться к развлекательной системе автомобиля по Bluetooth. Четыре уязвимости, коллективно названные PerfektBlue, вряд ли приведут к массовым угонам или взломам, но знать о них и соблюдать внимательность все же стоит.
      Под капотом PerfektBlue
      Подключить смартфон к автомобилю по Bluetooth для разговоров по громкой связи или прослушивания музыки можно в любом авто, выпущенном за последние 10 лет. Для этого в развлекательной системе (infotainment system), которая является частью головной системы (head unit), имеется чип Bluetooth и набор специального ПО. Многие производители автомобилей используют один и тот же набор ПО под названием OpenSynergy BlueSDK. По словам разработчиков, BlueSDK используется в 350 млн автомобилей. По имеющейся информации, в их числе Ford, Mercedes-Benz, Skoda, Volkswagen.
      Исследователи PCA Cyber Security обнаружили четыре уязвимости в BlueSDK (CVE-2024-45431, CVE-2024-45432, CVE-2024-45433, CVE-2024-45434), которые атакующий может объединить, чтобы запустить на устройстве свой вредоносный код. Для этого ему нужно быть подключенным к автомобилю по Bluetooth, то есть пройти процедуру сопряжения (pairing). Если это условие выполнено, то дальше злоумышленник беспрепятственно посылает автомобилю вредоносные команды по протоколу управления аудиоплеером (AVCRP). Это вызывает в операционной системе головного устройства ошибку, и в итоге хакер получает на нем те же права, что и программный код автопроизводителя для работы с Bluetooth. С этими правами атакующий теоретически может отслеживать местоположение жертвы, записывать происходящее в машине с помощью встроенных микрофонов, а также красть сохраненные в головной системе данные, например записную книжку жертвы. В зависимости от архитектуры конкретного автомобиля, из головной системы через CAN-шину злоумышленнику могут быть доступны управляющие модули (ECU) для контроля более серьезных функций, таких как тормоза.
       
      View the full article
    • KL FC Bot
      Несколько уязвимостей в CMS Sitecore | Блог Касперского
      Автор KL FC Bot
      Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
      CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
      На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
       
      View the full article
    • KL FC Bot
      Уязвимость в приложении для управления умным домом Rubetek Home | Блог Касперского
      Автор KL FC Bot
      Умный дом сегодня — это не фантастика из фильмов конца девяностых, а реальность практически каждого жителя мегаполиса. Умные розетки, колонки и телевизоры можно встретить практически в любой современной квартире. А что касается новых домов, то их иногда и вовсе сразу же строят умными, получаются умные жилые комплексы. Их жители могут с единого приложения управлять не только внутриквартирными приборами, но и внешними: домофоном, камерами, шлагбаумами, счетчиками и датчиками пожарной сигнализации.
      Но что будет, если в таком приложении окажется дыра в безопасности? Ответ знают наши эксперты из Global Research and Analysis Team (GReAT). Мы обнаружили уязвимость в приложении Rubetek Home и рассказали, что могло бы случиться с безопасностью владельцев умных квартир и домов — но, к счастью, не случилось.
      Что за уязвимость
      Уязвимость заключалась в отправке чувствительных данных в процессе логирования работы приложения. Разработчики использовали Telegram Bot API для сбора аналитики и отправки файлов с отладочной информацией от пользователей в приватный чат команды разработки при помощи Telegram-бота.
      Проблема в том, что отправляемые файлы, помимо системной информации, содержали в себе персональные данные пользователей, а также, что более критично, Refresh-токены, необходимые для авторизации в аккаунте пользователя, чей токен был получен. У потенциальных атакующих была возможность переслать все эти файлы себе при помощи того же Telegram-бота. Для этого они могли получить его Telegram-токен и идентификатор нужного чата из кода приложения, а после перебрать порядковые номера сообщений, содержащих такие файлы.
       
      View the full article
×
×
  • Создать...