Після звістки про метод віддаленого зламу “розумного” брелока від електрокара Tesla Model S, виробник компанія Pektron випустила нову версію ключа з більш надійним шифруванням. Однак дослідники знову знайшли спосіб зламати його, клонувати брелок і викрасти автомобіль.
Як тоді зазначалося, атака і клонування брелока попередньої моделі займали 2 секунди.
Дослідник з Левенського університету Lennert Wouters пояснив, що радіодіапазон нової атаки дещо обмежений, а її проведення займає більше часу в порівнянні з попереднім методом. Незважаючи на те, що в новій версії Tesla і Pektron реалізували 80-бітний ключ шифрування (в попередніх версіях був реалізований 40-бітний), ця уразливість дозволяє спростити задачу і зловмиснику потрібно всього лише зламати два 40-бітних ключа.
“Новий брелок краще, ніж попередній, але з наявністю вдвічі більшої кількості ресурсів можливо зробити його копію”, – пояснив дослідник виданню Wired.
Гарна новина полягає в тому, що для захисту від подібної атаки не буде потрібно міняти брелок, досить буде лише встановити створене Tesla оновлення безпеки, що дозволяє власникам авто встановити цифровий PIN-код, що відкриває доступ до автомобіля. Проте, для забезпечення повної безпеки власникам електрокарів усе одно рекомендується не тільки встановити оновлення, а й придбати новий брелок.
До речі, в офіційному магазині Google Play виявили шкідливий додаток зі шпигунським функціоналом. Програма-шпигун була замаскована під додаток Radio Balouch, який використовувався для прослуховування радіо в онлайн-режимі.
Нагадаємо, що була виявлена шкідлива кампанія, яка експлуатує уразливість в деяких плагінах для WordPress. За словами дослідників із Wordfence, жертв перенаправляють на підконтрольні зловмисникам web-сайти.
Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.
Стало відомо, що Google впроваджує нову ініціативу Privacy Sandbox, у рамках якої розробляється новий набір відкритих стандартів. За їх допомогою Google прагне створити баланс між конфіденційністю користувачів і бажанням рекламних компаній відстежувати їх.
Окрім цього, Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom і Tencent підписали угоду про створення консорціуму щодо захисту конфіденційності даних.
Міжнародна антивірусна компанія ESET виявила нову фішингову кампанію, націлену на користувачів продукції Apple. Шахраї розсилали листи, де вимагали від одержувачів “верифікувати” персональні дані після недавнього відновлення доступу до Apple ID.
Зверніть увагу, в Microsoft виявили незвичайну фішингову кампанію, в якій використовуються кастомні сторінки з помилками 404. Таким чином зловмисники намагаються обманом змусити потенційних жертв видати свої облікові дані.
Cisco попередила про доступність експлойтів для трьох уразливостей в пристроях Cisco Small Business 220 Series Smart Switches, виправлених на початку серпня. Компанія також виправила більше 30 критичних і небезпечних уразливостей, виявлених в її програмному забезпеченні.
В автомобільних імобілайзерах виявлена уразливість, експлуатація якої дозволяє зловмисникам заблокувати транспортний засіб жертви.
