Автомобили на Honda, Nissan, Toyota могат да бъдат атакувани от хакери
Установено е, че най-малко три мобилни приложения, предопределени за отдалечено пускане на коли и отключване на ключалки, имат уязвимости, които разрешават отдалечено осъществяване на разнообразни команди. Това са приложенията на Hyundai и Genesis, както и платформата SiriusXM, употребена от разнообразни производители на коли, в това число Acura, Honda, Nissan, Toyota и други.
Установената накърнимост в софтуера на Hyundai разрешава на атакуващите да прихващат трафика сред приложенията и колите, пуснати след 2012 година. Проверката на софтуера MyHyundai и MyGenesis сподели, че идентификацията на потребителя се прави посредством сравняване на имейл адреса на потребителя с други параметри. Чрез прибавяне на контролни знаци CR и LF (байткод) към имейл адреса на жертвата специалистите по киберсигурност са съумели да основат сметки, които са минали сполучливо инспекциите за сигурност и са им разрешили да започват автомобила, да изключат клаксона, да ръководят климатика, да отворят багажника и така нататък Според специалистите казусът не се крие в сигурността на приложенията, а в API, който те употребяват. Въпреки това те настояват, че сходни офанзиви са много сложни за осъществяване в всеобщ мащаб, макар че в действителност са рискови за притежателите на коли.
-->
Те също по този начин са проучили едно от мобилните приложения на SiriusXM - Nissan Connect. Оказва се, че познаването на VIN номера на даден автомобил може да даде доста информация за него, в това число името на лидера, телефонния му номер, адреса и други данни.
Hyundai и SiriusXM са били осведомени навреме за казуса и към този момент са издали актуализации на фърмуера. Не са докладвани действителни офанзиви, употребяващи уязвимостите, само че специалистите считат, че сходни проблеми ще се усилват, защото колите стават все по-свързани, а сложността на бордовия програмен продукт и неговите благоприятни условия не престават да порастват.
Въпреки че обвързваните и самостоятелните коли в доста връзки са също толкоз уязвими, колкото и корпоративните осведомителни екосистеми, засегнатите консуматори не разполагат със лични служби за киберсигурност и би трябвало да разчитат само на положителната воля на автомобилните производители. Днес автомобилът се трансформира в освен това от транспортно средство. Затова производителите са изправени пред все по-сложни провокации.
Установената накърнимост в софтуера на Hyundai разрешава на атакуващите да прихващат трафика сред приложенията и колите, пуснати след 2012 година. Проверката на софтуера MyHyundai и MyGenesis сподели, че идентификацията на потребителя се прави посредством сравняване на имейл адреса на потребителя с други параметри. Чрез прибавяне на контролни знаци CR и LF (байткод) към имейл адреса на жертвата специалистите по киберсигурност са съумели да основат сметки, които са минали сполучливо инспекциите за сигурност и са им разрешили да започват автомобила, да изключат клаксона, да ръководят климатика, да отворят багажника и така нататък Според специалистите казусът не се крие в сигурността на приложенията, а в API, който те употребяват. Въпреки това те настояват, че сходни офанзиви са много сложни за осъществяване в всеобщ мащаб, макар че в действителност са рискови за притежателите на коли.
-->
Те също по този начин са проучили едно от мобилните приложения на SiriusXM - Nissan Connect. Оказва се, че познаването на VIN номера на даден автомобил може да даде доста информация за него, в това число името на лидера, телефонния му номер, адреса и други данни.
Hyundai и SiriusXM са били осведомени навреме за казуса и към този момент са издали актуализации на фърмуера. Не са докладвани действителни офанзиви, употребяващи уязвимостите, само че специалистите считат, че сходни проблеми ще се усилват, защото колите стават все по-свързани, а сложността на бордовия програмен продукт и неговите благоприятни условия не престават да порастват.
Въпреки че обвързваните и самостоятелните коли в доста връзки са също толкоз уязвими, колкото и корпоративните осведомителни екосистеми, засегнатите консуматори не разполагат със лични служби за киберсигурност и би трябвало да разчитат само на положителната воля на автомобилните производители. Днес автомобилът се трансформира в освен това от транспортно средство. Затова производителите са изправени пред все по-сложни провокации.
Източник: standartnews.com
КОМЕНТАРИ