В автомобільних імобілайзерах виявлена уразливість, експлуатація якої дозволяє зловмисникам заблокувати транспортний засіб жертви.
Досвідчені злочинці потенційно можуть заблокувати близько 25 тисяч автомобілів одночасно, повідомили фахівці з Pen Test Partners виданню Forbes.
Імобілайзер є одним з видів захисту проти викрадення. З його допомогою власник вкраденого автомобіля може відстежити транспортний засіб і не дозволити злочинцю ввімкнути двигун. Однак в імобілайзері SmarTrack від Global Telemetrics була виявлена уразливість, що дозволяє перехопити управління пристроєм.
Дослідники з компанії Pen Test Partners зламали автомобіль одного зі своїх співробітників і заблокували його. Під час зламу вони перебували в Великобританії, тоді як співробітник перебував у Греції. Експлуатація уразливості здійснюється за допомогою простого запиту через браузер, а для виконання команди потрібно всього кілька секунд. Якщо ж автомобіль знаходиться в русі в цей момент, то команда спрацює при наступному запуску двигуна. Уразливість існує в зв’язку з тим, що система SmarTrack не перевіряє команди, відправлені авторизованим користувачем.
Дослідники повідомили Global Telemetric про виявлену уразливість, і компанія виправила її. Запрошений фахівець з фірми Hedgehog Security проаналізував уразливість і повідомив, що можливість заблокувати близько 25 тисяч автомобілів одночасно цілком реальна. Однак для цього зловмисникові знадобиться “більше одного рядка коду”.
До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.
Нагадаємо, що програми Microsoft Paint та WordPad перестануть бути обов’язковими після оновлення Windows 10 Spring 2020 року.
Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.
Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.
Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.
У операторів ботнету Neutrino з’явилася нова тактика. За їх словами, вони вже більше року атакують web-оболонки інших кіберзлочинців і заражають їх сервери.
Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.
Cisco попередила про доступність експлойтів для трьох уразливостей в пристроях Cisco Small Business 220 Series Smart Switches, виправлених на початку серпня. Компанія також виправила більше 30 критичних і небезпечних уразливостей, виявлених в її програмному забезпеченні.
Агентство з кібербезпеки Великобританії закликало розробників подумати про перехід з версій Python 2.x на більш нову гілку 3.x у зв’язку з майбутнім припиненням підтримки Python 2, запланованим на 1 січня 2020 року.