?

Log in

No account? Create an account

Предыдущий пост | Следующий пост



Ладно, мы уже распиливали аккумуляторы Tesla Model S и даже обзывали его Остапом Петриковичем Маском и Илоном Мавродиевичем Петриком. Даже готовы были поверить, что он не государственный, а частный Элон Маск, но вот нужна ли нам вот такая засада?

Исследователи из компании Promon нашли слабые места в Android-приложении Tesla, которые позволяют получить полный контроль над автомобилем. Как утверждают хакеры, с помощью этой «дыры» злоумышленники могут удалённо угнать автомобиль и направить его в нужное место назначения.

Работа с приложением начинается с отправки HTTP-запроса к серверу Tesla. Все запросы должны предоставить Oauth-токен. Этот токен пользователь получает, пройдя аутентификацию с помощью логина и пароля. После первого успешного входа в приложение Tesla токен сохраняется в открытом виде в файле. Когда приложение перезагружается, токен считывается и используется для отправки новых запросов. Согласно экспериментальным тестам специалистов Promon, этот токен является валидным на протяжении 90 дней. Кража токена означает получение полного контроля над автомобилем (всё, что позволяет приложение).

Но как же хакерам удалось реализовать атаку? Как отмечается, для успешной атаки достаточно немного модифицировать код приложения Tesla, благодаря чему хакер получит возможность получать все введённые аутентификационные данные на свою электронную почту. Замена оригинального приложения возможна с помощью так называемой атаки с повышением привилегий (наподобие зловредных программ Godless и HummingBad). Как только атакующий получает root-права, у него открывается широкое поле деятельности. Правда, ещё придётся заставить пользователя установить зловредное приложение. Но, по утверждению команды Promon, это также возможно с помощью известных методов.





Например, можно реализовать фишинг-атаку с подставной точкой доступа Wi-Fi. В демонстрационной атаке хакеры организовали такую фейковую беспроводную станцию. Она перенаправляла пользователя на портал с рекламой приложения, которое якобы предлагает всем владельцам автомобилей Tesla бесплатный ужин в ближайшем ресторане. Дальше — дело техники. Конечно же, далеко не все клюнут на такую удочку, но шанс у преступников высокий.

Специалисты Promon советуют Tesla придерживаться некоторых правил, которые позволят свести риски безопасности к минимуму. Например, приложение должно уметь самостоятельно определять попытки модификации. Токен не должен храниться в открытом виде. Безопасность может быть повышена при использовании двухфакторной аутентификации. Также приложение может включать собственную клавиатуру, что убережёт пользователей от вирусов-кейлоггеров. Не лишним будет защитить приложение и от обратной инженерии.



Вы конечно можете сказать: "ну вот, как раз выявили дыру, теперь все сделают как надо". Но не будем тешить себя иллюзиями, если есть хоть какая то теоретическая возможность обойти те защиты, которые делает один человек, то другой обязательно из обойдет. И кадры из фантастических фильмов, когда злодеи дистанционно отключают тормоза на вашем автомобиле могут стать реальность.

[источники]источники
http://nnm.me/blogs/dendy2008/video-dnya-hakery-ugnali-avtomobil-tesla-s-pomoshyu-smartfona/
https://promon.co/




А ведь было дело пытались даже угнать самолет по Wi-Fi, и получилось же!

Метки:

Subscribe to  masterok

Posts from This Journal by “Авто” Tag

  • ЗИЛ-135МШ мог поворачивать на 90 градусов

    Сколько же во времена СССР было сделано, испытано, опробовано образцов техники. «Листаешь» интернет и не видишь конца и края хотя бы…

  • ГАЗ-М73: на 40 лет опережая японцев

    В 1996 году компания Suzuki удивила автомобильную общественность, запустив в серийное производство очень необычный внедорожник X-90. По-сути,…

  • Дворец дальнобойщика

    А помните, мы недавно были с вами В гостях у американских дальнобойщиков. Довольно скромно и по спартански, не правда ли ? Однако по оценкам…

promo masterok январь 2, 12:00 46
Buy for 300 tokens
Вот так выглядит ушедший от нас 2017 год. А вот кстати, начало 2018 года показывает еще больший трафик, чем декабрь 2017: И вот один из дней - рекордсменов за всю историю журнала тоже уже в 2018 году: Красная цифра - это общее количество уникальных посетителей попавших в блог. В…

Comments

ukiwa
Nov. 28th, 2016 02:30 pm (UTC)
Почему-то ключ от автомобиля на антенну никто не вешает, а вот удаленный доступ к системе управления - пожалуйста! Ну хотя если ключ от квартиры под коврик кладут... то неудивительно. Заходи, народ, бери что хочешь!
koldoblin
Nov. 29th, 2016 02:06 am (UTC)
Смотрел я видео ребят, которые хакили Теслу. С их слов, там довольно надёжная система.
Эта статья описывает ситуацию, когда кто-то добровольно ставит бэкдор. Это совсем не просто сделать.
xpo_xpo_xpo
Nov. 29th, 2016 02:20 am (UTC)
В США нормально оставлять ключи в салоне в ремонте, на техосмотре, в пунктах проката и т. п. Приходишь к кузовщику машину забирать, а он тебе так и говорит: "Да вон там, за углом стоит, ключи на солнцезащитном щитке".
agasfer9
Nov. 28th, 2016 03:38 pm (UTC)
Такие сложности. Проще угнать любой автомобиль из стоящих на улице. Скажем подъехать к той же Тесле на эвакуаторе и через пару минут уехать с Теслой.
koldoblin
Nov. 29th, 2016 02:01 am (UTC)
Как-то мне кажется, что эвакуаторы под строгим контролем, как пулеметы с пушками.
agasfer9
Nov. 29th, 2016 05:36 pm (UTC)
Ночь, улица, деньги...
dariez_navej
Nov. 28th, 2016 04:29 pm (UTC)

Зачем может понадобиться комуто электрическая телега (технологии 60-х годов ссср) кроме хакеров - школьников? Покататься и выкинуть.

sni_1
Nov. 28th, 2016 04:59 pm (UTC)

Дорогая телега, гражданина не среднего достатка.

koldoblin
Nov. 29th, 2016 01:55 am (UTC)
С украденной делать нехрен.. Другое дело, если нужно убить кого-нибудь или подставить.
Веня Ерофеев
Nov. 28th, 2016 05:55 pm (UTC)
Эта телега в Норвегии самая продаваемая марка между прочим. Государство по климату близко к нашему.
xpo_xpo_xpo
Nov. 29th, 2016 02:21 am (UTC)
Только по цене на бензин не шибко близко, в России бензин, считай, бесплатно наливают. А вот тесловодам льготы в Норвегии положены.
dusty
Nov. 29th, 2016 08:24 am (UTC)
Из-за адских госльгот типа бесплатной зарядки, бесплатной парковки и сниженных налогов. Вот таксисты их и понакупили.
(Deleted comment)
(Deleted comment)
masterok
Nov. 28th, 2016 08:45 pm (UTC)
удалил. Спасибо за предупреждение

Links

Календарь

August 2018
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031 

Метки

Powered by LiveJournal.com