Можливо було відправляти на автомобіль такі команди, як запуск двигуна і розблокування дверей. Для отримання доступу потрібно лише знання VIN-номера автомобіля жертви.
Дослідник безпеки Jason Hughes розкрив подробиці про уразливість в мережах Tesla, експлуатація яких дозволяла повністю скомпрометувати інфраструктуру, яка здійснює взаємодію з автомобілями споживачів. Виявлені проблеми дозволяли зловмиснику отримати доступ до сервера, що забезпечує зв’язок з автомобілями і відправку команд через мобільний додаток.
Атакуючий зміг через інфраструктуру Tesla отримати права суперкористувача на інформаційній системі будь-якого автомобіля або віддалено відправляти транспортному засобу керуючі команди. Спеціаліст міг відправляти на автомобіль такі команди, як запуск двигуна і розблокування дверей. Для отримання доступу потрібно лише знання VIN-номера автомобіля жертви.
Проблеми були пов’язані з набором інструментів, що пропонуються для завантаження з сайту toolbox.teslamotors.com. користувачам автомобілів Tesla з обліковими записами на сайті могли завантажити всі модулі для розробників, однак останні були погано захищені, а ключі шифрування надавалися тим же сервером.
Експерт виявив в коді модулів вшиті облікові дані для різних сервісів Tesla у внутрішній мережі компанії. У коді також були знайдені облікові дані користувача одного з вузлів в піддомені dev.teslamotors.com у внутрішній мережі.
Скомпрометований сервер виявився вузлом для управління кластером і відповідав за доставку додатків на інші сервери. Під час авторизації на вказаний хост фахівець отримав частину вихідних текстів внутрішніх сервісів Tesla, включаючи mothership.vn і firmware.vn, що відповідають за передачу команд на автомобілі клієнтів і доставку прошивок. На сервері також були знайдені паролі і логіни для доступу до cистем управління базами даних PostgreSQL і MySQL. Як виявилося, доступ до більшості з компонентів можна було отримати і без облікових даних, досить лише відправити HTTP-запит до Web API з доступною клієнтам підмережі.
Дослідник виявив проблеми ще на початку 2017 року. Він повідомив про свої знахідки компанії Tesla, однак оприлюднив цю інформацію лише через три з половиною роки. Tesla відразу усунула проблеми і кардинально посилила захист своєї інфраструктури, а досліднику виплатила винагороду в розмірі $ 50 тис.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як захиститися від незаконного криптомайнінгу?
Як швидко знайти системні налаштування у Windows 10? – ІНСТРУКЦІЯ
Як допомогти Gmail розпізнавати спам та заблокувати небажані листи?
10 кращих додатків для обміну повідомленнями на Android
Як поділитися своїм місцезнаходженням з друзями на iOS і Android? ІНСТРУКЦІЯ
Як відформатувати текст у Google Таблицях? ІНСТРУКЦІЯ
Фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки.
Також сервіс “Карти” від Google зараз активно удосконалюють, щоб полегшити розрізнення природних особливостей навколишнього середовища – щоб люди могли побачити з великою точністю, де розташовані гірські крижані шапки, пустелі, пляжі чи густі ліси. За даними Google, нові “Карти” будуть доступні у 220 країнах та окремих територіях, які зараз підтримуються програмою – “від найбільших мегаполісів до малих селищ”.
Зверніть увагу, щойно відкритий дослідниками P2P-ботнет уразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року. Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.
До речі, Huawei підтвердила, що Android-пристрої її виробництва як і раніше будуть отримувати оновлення функціоналу та патчі безпеки. Як повідомили представники Huawei порталу Huawei Central, компанія продовжить оновлювати свої смартфони (в тому числі Honor) з передвстановленим магазином додатків Google Play і Huawei Mobile Services.
Microsoft випустила позапланове оновлення KB4578013, що виправляє дві уразливості підвищення привілеїв в сервісі віддаленого доступу (Windows Remote Access).
