Мастерок.жж.рф

Хочу все знать


Previous Entry Share Next Entry

Хакеры угнали автомобиль Tesla с помощью смартфона



Ладно, мы уже распиливали аккумуляторы Tesla Model S и даже обзывали его Остапом Петриковичем Маском и Илоном Мавродиевичем Петриком. Даже готовы были поверить, что он не государственный, а частный Элон Маск, но вот нужна ли нам вот такая засада?

Исследователи из компании Promon нашли слабые места в Android-приложении Tesla, которые позволяют получить полный контроль над автомобилем. Как утверждают хакеры, с помощью этой «дыры» злоумышленники могут удалённо угнать автомобиль и направить его в нужное место назначения.

Работа с приложением начинается с отправки HTTP-запроса к серверу Tesla. Все запросы должны предоставить Oauth-токен. Этот токен пользователь получает, пройдя аутентификацию с помощью логина и пароля. После первого успешного входа в приложение Tesla токен сохраняется в открытом виде в файле. Когда приложение перезагружается, токен считывается и используется для отправки новых запросов. Согласно экспериментальным тестам специалистов Promon, этот токен является валидным на протяжении 90 дней. Кража токена означает получение полного контроля над автомобилем (всё, что позволяет приложение).

Но как же хакерам удалось реализовать атаку? Как отмечается, для успешной атаки достаточно немного модифицировать код приложения Tesla, благодаря чему хакер получит возможность получать все введённые аутентификационные данные на свою электронную почту. Замена оригинального приложения возможна с помощью так называемой атаки с повышением привилегий (наподобие зловредных программ Godless и HummingBad). Как только атакующий получает root-права, у него открывается широкое поле деятельности. Правда, ещё придётся заставить пользователя установить зловредное приложение. Но, по утверждению команды Promon, это также возможно с помощью известных методов.





Например, можно реализовать фишинг-атаку с подставной точкой доступа Wi-Fi. В демонстрационной атаке хакеры организовали такую фейковую беспроводную станцию. Она перенаправляла пользователя на портал с рекламой приложения, которое якобы предлагает всем владельцам автомобилей Tesla бесплатный ужин в ближайшем ресторане. Дальше — дело техники. Конечно же, далеко не все клюнут на такую удочку, но шанс у преступников высокий.

Специалисты Promon советуют Tesla придерживаться некоторых правил, которые позволят свести риски безопасности к минимуму. Например, приложение должно уметь самостоятельно определять попытки модификации. Токен не должен храниться в открытом виде. Безопасность может быть повышена при использовании двухфакторной аутентификации. Также приложение может включать собственную клавиатуру, что убережёт пользователей от вирусов-кейлоггеров. Не лишним будет защитить приложение и от обратной инженерии.



Вы конечно можете сказать: "ну вот, как раз выявили дыру, теперь все сделают как надо". Но не будем тешить себя иллюзиями, если есть хоть какая то теоретическая возможность обойти те защиты, которые делает один человек, то другой обязательно из обойдет. И кадры из фантастических фильмов, когда злодеи дистанционно отключают тормоза на вашем автомобиле могут стать реальность.

[источники]источники
http://nnm.me/blogs/dendy2008/video-dnya-hakery-ugnali-avtomobil-tesla-s-pomoshyu-smartfona/
https://promon.co/




А ведь было дело пытались даже угнать самолет по Wi-Fi, и получилось же!

Tags:

Posts from This Journal by “Авто” Tag

  • Огромный внедорожник Ford F-650

    Одним из самых узнаваемых автомобилей в современном мире из числа гигантских внедорожников является, несомненно, модель Ford F-650 (Форд ф 650),…

  • Что за машина?

    Увидел эту фотографию, задумался и не смог даже примерно ответить, что это за машина. Вот еще как то был у нас необычный руль. Вернемся к нашей…

  • Самый большой автомобильный кран в мире

    Среди огромного количества разной строительной техники, а в частности среди кранов, именно автомобильные являются зачастую самым оптимальным…


Buy for 310 tokens
Самое грустное, что это не шутка. Столь "креативная" идея пришла на ум учителям одной из школ в селе Правобережное в Чечне. Преподаватели придумали сразу несколько интересных детям тематик: певцы Егор Крид, ЮрКисс (это вообще кто?) или Ольга Бузова. Практически все десятиклассники решили…

  • 1
agasfer9 November 28th, 2016
Такие сложности. Проще угнать любой автомобиль из стоящих на улице. Скажем подъехать к той же Тесле на эвакуаторе и через пару минут уехать с Теслой.

koldoblin November 29th, 2016
Как-то мне кажется, что эвакуаторы под строгим контролем, как пулеметы с пушками.

agasfer9 November 29th, 2016
Ночь, улица, деньги...

  • 1
?

Log in