Для виправлення уразливостей і додавання нових функцій в свою систему безключового доступу в автомобілях Tesla Model X компанія Tesla використовує дистанційне оновлення. Однак, за словами фахівця Левенського католицького університету (Бельгія) Lennert Wouters, за допомогою цього механізму доставки оновлень можна в лічені хвилини викрасти автомобіль.
Фахівець виявив як у системі безключового доступу Tesla Model X так і в самому автомобілі уразливості, що дозволили йому через Bluetooth-підключення переписати прошивку брелока, зняти код розблокування і викрасти автомобіль. За словами дослідника, викрадач, якому вдасться прочитати ідентифікаційний номер (зазвичай його видно на приладовій панелі автомобіля через лобове скло) і наблизитися до брелоку жертви на відстань 4,6 м, зможе проексплуатувати ці уразливості. Необхідне для цього обладнання обійдеться в $ 300, його спокійно можна вмістити в рюкзак, а управління здійснюється за допомогою смартфона.
Всього за 90 секунд пристрій здатний витягти радіокод для розблокування Tesla Model X. Опинившись всередині автомобіля, викрадач може проексплуатувати другу уразливість і всього за хвилину завести машину за допомогою власного брелока.
“Ця комбінація з двох уразливостей дозволяє хакеру викрасти Model X за кілька хвилин. Якщо їх скомбінувати, атака вийде набагато ефективнішою”, – повідомив дослідник.
Дослідник повідомив Tesla про проблему в серпні нинішнього року, і компанія пообіцяла випустити виправлення для брелоків (і, можливо, для компонентів автомобіля) на цьому тижні. За словами виробника, розсилка оновлень всім уразливим Tesla Model X може зайняти до одного місяця, тому власники повинні встановлювати всі доступні оновлення, щоб захистити себе від вищеописаної атаки. Зі свого боку дослідник пообіцяв не публікувати завчасно ніяких кодів і подробиць про уразливість щоб уникнути їх можливої експлуатації хакерами.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.
